备 受 推崇 、 最 超人 气 的 1 


* 岛 哥 的 | nfl 服务 开设 了 s 


一 服务 器 架设 篇 伸 = 有 局 


鸟 哥 著 


9 乌 哥 在 本 书 中 教 您 : 
0 可 架设 一 个 安全 的 网 站 
如 何 维 护 与 管理 您 的 服务 器 
如 何 有 效 地 对 您 的 服务 器 系统 进行 安全 加 固 
如 何在 局 域 网 与 Internat 中 部 署 密 的 艰 务 器 


TO 机 械 工 业 出 版 社 
2 | | 


Ms 二 站 站 同 宫 GNIiN 总 局 噶 鼎 


特别 强调 


底下 这 些 文件 主要 是 针对 在 Linux 上 的 网 络 服务 器 来 书写 架设 方式 
的 ， 乌 哥 主 要 以 使 用 RPM/YUM 作为 


软件 安装 的 CentOS 为 基础 系统 。 CentOS 是 属于 Red Hat Enterprise 
Linux (RHEL) 的 操作 系统 ， 所 


以 理论 上 RHEL, CentOS, Fedora 等 版 本 都 适用 的 啦 ! 为 什么 要 使 用 默 
认 的 软件 管理 方式 来 安装 所 有 的 


服务 器 程序 呢 ? 这 是 因为 大 多 数 的 Linux 开发 商都 会 有 所 谓 的 在 线 升 
级 系统 ， 包括 CentOS/Fedora 的 


yum ， 以 及 SuSE 的 YOU ， 还 有 Debian 的 apt 等 等 ， 因 为 有 在 线 
『 目 动 升 级 4 ， 所 以 当然 会 比 您 目 


己 手动 使 用 Tarball 的 安 钱 方式 来 的 方便 且 安 全 ! 因为 你 的 系统 上 头 
所 有 的 数据 可 以 在 第 一 时 间 内 『 目 


动 」 修补 完毕 嘛 ! 
要 染 设 好 一 部 Linux 服务 铸 实 在 很 简单 ， 只 要 按照 乌 哥 网 站 上 的 步 
骤 ， 一 步 一 步 的 慢 慢 设 定 下 去 ， 铁 


定 可 以 完成 您 所 需要 的 设 定 的 ! 但 是 ， 要 维护 好 一 部 Linux 主机 ， 却 
征 很 困难 的 ! 您 必须 要 熟悉 Linux 


的 系统 架构 、 网 络 的 基本 知识 如 协议 、IP、 路 由 、DNS 等 等 的 基础 知 
识 才 行 ! 


无 论 如 何 ， 您 要 开始 『 服 务 器 架设 篇 之前， 请 务必 先 读 完 『【Linux 
基础 篇 ] 的 文章 才 行 ! 否则 几乎 束 


如 同上 面 提 到 的 ， 维 护 这 样 的 一 部 Linux 主机 ， 是 很 花 时 间 的 ! 没有 
这 个 认 知 ， 那 号 不 要 架 站 吧 ! 免得 


毒害 其 他 的 战友 呐 | 


在 架 站 的 过 程 当 中 ， 无 论 出 现任 何 问题 ， 第 一 个 步 又 束 是 察看 登录 档 
(log file)， 那 是 克服 问题 的 地 方 ! 


net.giang@hotmail.com 


第 一 部 份 : 架 站 前 的 进修 专区 


架 站 需要 很 强 的 Linux 基础 概念 以 及 基础 网 络 知识 ， 否 则 的 话 ， 当 网 
络 断 断 续 续 


的 时 候 ， 您 永远 也 不 会 知道 是 哪里 出 问题 ! 而 当 某 个 服务 器 软件 出 问 
题 的 时 候 ， 您 永 


远 也 不 晓得 是 发 生 了 什么 事情 ! 老人 家 说 『 对 症 下 药 才 有 效 」， 随便 
吃 药 是 不 可 能 『 无 


病 强 身 J 的 ! 因此 ， 对 于 网 络 服务 器 来 说 最 重要 的 基础 档案 权限 、 程 
序 之 启动 天 闭 与 管 


理 、Bash shell 之 操作 与 script 、 使 用 者 账号 的 管理 等 等 ， 您 都 必须 要 
具备 最 基础 


的 认 知 才 行 ， 否 则 ， 服 务 器 真 的 不 好 碰 ! 


在 这 一 篇 当中 ， 乌 哥 会 介绍 一 下 架设 服务 器 之 前 你 必须 要 具备 的 基础 
观念 ， 以 及 重 


0 当然 啦 ， 一 大 扒 的 网 络 指令 坪 需 要 妥 悉 的 。 这 些 网 络 
令 不 是 要 你 背 


起 来 ， 而 是 希望 在 你 需要 的 时 候 可 以 很 快速 的 查阅 到 如 何 使 用 的 说 ! 
无 论 如 何 ， 请 您 


务必 在 架 站 前 工读 过 Linux 基础 篇 及 下 读 坟 
否则 大 家 很 难 跟 


您 讨论 呢 ! 这 个 部 分 乌 哥 放 在 最 前 面 ， 布 望 大 家 『 务 必 J 要 查看 这 些 
OAK AI 
资料 啊 ! 
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IE 
最 近 更 新 日 期 : 2011/08/18 
作者 序 : 


服务 希 的 架设 并 不 容易 ， 除 了 需要 了 解 每 个 服务 器 的 工作 原理 与 目的 
之 外 ， 还 得 要 


熟悉 网 络 以 及 基础 系统 管理 操作 等 等 。 不 过 目前 有 太 多 的 书籍 以 及 设 
定 参 考 范例 在 教 


导 大 家 如 何 染 设 一 个 可 以 用 的 服务 器 ， 但 这 些 范 例 却 没有 束 服 务 器 的 
维护 与 管理 ， 还 


有 发 生 问 题 时 应 该 机 如 何 处 理 的 流程 作 个 解释 。 因 此 ， 架 设 服 务 器 十 
很 容易 的 ， 不 过 ， 


被 攻击 也 是 很 常见 的 啊 ! 所 以 ， 笔 者 在 这 本 书 里 面 就 从 系统 基础 以 及 
网 络 基础 讲 起 ， 


再 谈 谈 网 络 攻击 后 以 及 防火 墙 防护 主机 后 ， 才 进入 染 设 服务 絮 的 午 
|! O 

这 本 书 是 以 CentOS 6 为 范例 来 介绍 的 ， 这 个 版 本 的 Linux 有 很 多 与 以 
前 不 一 样 


的 服务 设 定 ， 常 常会 让 人 找 不 到 熟悉 的 配置 文件 位 置 。 而 且 笔 者 使 用 
SELinux 默认 启 

动 的 模式 来 进行 服务 絮 的 设 定 ， 加 入 SELinux 后 ， 整 个 服务 器 的 设 定 
束 显 的 有 些 难 度 

哩 ! 此 外 ， 以 前 没有 用 过 的 NetworkManager 服务 也 来 凑 一 脚 ， 所 以 
老 是 会 让 人 搞 到 

满 脑子 混乱 一 笔者 光 是 重复 测试 之 前 版 本 与 此 版 本 的 对 应 ， 束 花 去 不 
少 的 时 间 呢 ! 项 

望 这 样 的 测试 结果 ， 能 够 帮 大 家 降低 自行 试 误 的 过 程 ， 早 点 设 定好 您 
的 服务 器 。 

这 次 第 三 版 的 改版 幅度 不 算 太 大 ， 主 要 是 将 前 面 儿 章 网 络 安全 的 部 分 
文章 统合 ， 加 

入 了 第 二 版 被 拿 掉 的 代理 服务 需 章 节 ， 减少 邮件 服务 吉 的 进 阶 内 容 
(说 实在 的 ， 邮 件 


服务 器 的 染 设 真 的 可 以 不 用 学 太 多 了 ! )， 并 加 入 了 相当 重要 的 iSCSI 
这 种 磁 副 提供 者 


的 仿真 器 ! 同时 将 vsftpd 加 入 了 SSL 的 加 密 支 持 ! 并 且 将 服务 器 常用 
在 内 部 网 络 或 


因特网 作 个 区 分 ， 以 方便 使 用 者 了 解 该 服务 常用 于 哪些 实务 上 。 这 些 
分 类 都 是 笔者 近 


期 来 在 学 校 作 专 题 研 究 时 的 一 些 观察 后 ， 所 做 的 分 析 。 项 望 能 够 对 读 
着 们 有 些 帮 助 。 


谁 适 合 这 本 书 : 


这 本 书 既 然 钙 谈论 比较 深入 的 架 站 规划 、 流 程 、 技 巧 与 维护 等 工作 ， 
那么 比较 基础 


的 Linux x 操作 与 相关 的 Shell 语法 ， 在 这 本 书 里 面 就 不 可 能 谈论 的 很 
和 多， 毕竟， Linux 


基础 篇 已 经 完成 了 ， 没 有 必要 在 这 本 书 里 面 再 次 的 重复 提 及 的 。 所 
以 ， 当 您 尝试 阅读 


这 本 书 的 时 候 ， 请 注意 ， 您 最 好 已 经 具备 有 Linux 操作 系统 的 相关 知 
识 ， 以 及 文字 接 


口 (BASH Shell) 的 相关 技巧 ， 还 有 ， 必 需要 能 够 了 解 一 些 Unix-Like 
的 工作 流程 ， 


例如 登录 文件 的 产生 与 放置 的 地 点 、 服 务 的 局 动 与 关闭 方式 、 工 作 排 
程 的 使 用 方法 、 


以 及 其 他 种 种 相关 的 事项 。 也 就 是 说 ， 如 果 您 从 未 接触 过 Linux ， 那 
么 建议 您 由 『 乌 


开始 Linux 的 探索 历程 ， 否 则 ， 这 


本 书 对 您 而 言 
可 能 会 过 于 难以 理解 。 


net.giang(@hotmail.com 
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另外 ， 这 本 书 的 内 容 很 多 时 候 会 所 到 一 些 和 位 单 的 概念 而 不 是 僵化 的 流 
程 ， 尤 其 每 


个 人 对 于 网 站 的 要 求 都 不 相同 ， 也 束 是 说 ， 每 个 人 的 网 站 其 实 都 是 市 
有 个 人 风格 的 ， 因 


此 僵化 的 流程 并 没有 太 大 的 意义 ~ 只 要 能 够 依据 这 些 简单 的 概念 来 进 
行 网 站 的 架设 ， 鸟 


哥 认 为 ， 您 的 主机 设 定 应 该 都 不 会 有 太 大 的 问题 。 怕 的 是 什么 呢 ? 都 
没有 人 页 过 Linux ， 


却 想 直接 参考 架 站 的 程序 来 完成 网 站 的 架设 的 朋友 ， 这 些 朋友 最 容易 
忽略 后 续 的 维护 与 


管理 了 ! 这 也 容易 造成 网 站 的 不 稳定 或 者 是 造成 被 网 络 怪 客 (Cracker) 
入 侵 的 问题 啊 ! 


这 本 书 主要 的 目的 是 引导 用 户 进 入 Linux 强大 的 网 络 功能 的 世界 ， 书 
内 的 范例 都 


征 乌 哥 目 己 实 际 测试 过 没有 问题 才 写 上 来 的 ， 不 过 ， 毕 葛 每 个 人 的 网 
络 环境 与 操作 习惯 


都 不 相同 ， 因 此 ， 乌 哥 不 敢 说 我 书 内 的 范例 一 定 可 以 在 您 的 系统 上 操 
作成 功 的 ! 然而 ， 


书 内 都 会 提 到 一 些 基 本 概念 的 问题 ， 只 要 理解 这 些 基 本 的 概念 ， 并 且 
对 于 Linux 的 操 


作 熟 悉 ， 相 信和 您 一 定 可 以 利用 书 内 的 范例 来 开发 出 适合 您 目 己 的 服务 
器 设 定 的 ! 不 过 ， 


对 于 没有 碰 过 Linux 的 朋友 ， 还 是 建议 从 头 学 起 ， 至 于 为 什么 一 定 得 
从 头 学 起 ， 在 本 


书 的 第 一 章 内 会 仔细 谈论 喔 。 
章 市 安排 : 


本 书 在 章节 的 规划 上 面 ， 主 要 分 为 四 大 部 分 ,分别 是 『 网 络 基础 
篇 、『 主 机 的 简 


易 防 火 措施 篇 J 、『 区 网 常见 服务 右 染 设 篇 | 与 【因特网 服务 内 
篇 4， 前 两 篇 的 所 有 


内 容 是 很 基础 的 网 络 概念 与 实际 网 络 设 定 ， 包 括 很 重要 的 网 络 自我 检 
测 以 及 防火 墙 设 定 


等 ， 与 您 的 服务 右 能 不 能 运作 有 很 大 的 关系 ! 所 以 ， 您 在 开始 服务 郁 


的 染 设 之 前 ， 请 
务必 将 前 面 两 篇 共 十 章 先 念 过 一 仙 才 好 呐 | 
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在 『 网 络 基础 篇 | 当中 ， 我 们 会 介绍 简易 的 网 络 基础 ， 这 包含 了 便 件 
的 选择 与 布线 。 


此 外 ， 还 有 在 Linux 上 面 连 上 Intemet 的 方法 ， 以 及 在 Linux 发 生 无 法 
连接 因特网 


的 问题 时 ， 人 简易 的 查验 方法 。 看 完了 这 一 篇 之 后 ， 您 的 Linux 不 论 以 
何 种 方式 来 进行 


Internet 的 连接 ， 就 应 该 都 不 成 问题 史 ， 而 且 ， 乌 哥 希 望 看 完 这 一 篇 之 
后 ， 您 可 以 了 


解 Linux 的 网 络 问 题 ， 并 目 行 解决 喔 ! 


在 『 主 机 的 人 简易 防火 措施 篇 中 ， 我 们 会 简单 的 介绍 Linux 的 强大 网 
络 功能 下 ， 


可 能 会 发 生 的 网 络 入 侵 问题 。 接 下 来 ， 了 解 了 问题 后 ， 当 然 束 是 需要 
来 解决 他 史 ! 所 以 ， 


我 们 会 就 TCP/IP, port, 套件 漏洞 的 修补 与 防火 墙 等 来 推 融 一 下 ， 该 如 
何 做 好 Linux 


主机 的 防备 呢 ? 『 没 有 永远 安全 的 主机 J 是 正确 的 言论 ， 所 以 ， 即 使 
您 的 主机 内 十 二 


个 小 小 的 网 站 ， 也 千 万 不 能 忽略 这 个 防火 墙 的 认识 喔 ! 


在 『 区 网 第 见 服务 右 架 设 篇 I 当中， 我 们 会 介绍 内 部 网 络 经 常 使 用 的 
远程 联机 服务 


(ssh, vnc, xrdp)、 网 络 参数 设 定 服务 (dhcp, ntp)、 网 络 驱 动 右 服务 
(samba, nfs, 


iscsD)， 以 代理 服务 万 等 服务 。 这 些 章节 虽然 跳 着 看 是 没有 问题 的 ， 不 


十 一 章 的 联机 服务 器 得 要 花 些 时 间 瞧 瞧 ， 尤 其 是 ssh 的 密 钥 系 统 ， 对 
异地 备 援 是 相 


当 有 帮助 的 ! 
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在 『 在 因特网 服务 器 篇 上 」 当中， 我们 会 介绍 DNS, WWW, FTP 及 mail 


A 1 
SerVver 等 常 


见 的 服务 。 在 因特网 上 面 要 使 用 较 好 记 的 主机 名 来 联机 ， 束 得 要 透 
DNS 系统 ， 因 此 ， 


这 个 DNS 服务 絮 相 当 重 要 ! 在 这 一 版 的 DNS 加 入 了 view 的 人 简单 概 
念 ， 可 以 适用 于 区 


网 内 的 主机 联网 ， 可 以 参考 看 看 。 


章 下 的 安排 主要 仍然 站 由 浅 入 深 来 进行 编排 的 ， 因 此 ， 还 征 和 希望 读者 
们 可 以 由 前 面 


慢 慢 的 往 下 看 ， 不 要 着 急 的 直接 翻 到 后 面 去 抄 一 些 架 设 流程 喔 ! 而 
且 ， 几 乎 每 一 章节 


后 面 都 会 具有 一 些 和 侧 单 的 课 后 练习 题 ， 这 些 练习 题 有 的 是 乌 哥 参 加 过 
的 考试 内 容 ， 有 


的 是 马 哥 想到 的 一 些 数据 ， 很 适合 大 家 思考 喔 ! 不 要 错过 这 些 练习 题 
的 训练 喔 ! 
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另外， 关于 本 书 的 其 误 信 息 ， 请 参考 : 


LD http:/linux.vbird.org/book/ 


2003/07/14: 第 一 次 完成 日 期 ! 


2003/09/18: 加 入 一 些 说 明 ， 尤 其 是 各 个 服务 器 的 简介 。a 


2007/03/01， 取 消 各 个 服务 器 的 简介 ， 太 占 篇 幅 了 ! 修改 初版 序 的 内 
容 ， 增 加 再 版 序 的 


部 分 。 
2007/03/01: 初版 序 我 将 他 拿 到 这 里 
2011/08/18: 二 版 序 移动 到 这 里 
net.giang(@hotmail.com 
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一 章 、 架 设 服务 器 前 的 准备 工 
最 近 更 新 日 期 : 2011/07/14 


很 多 朋友 因为 自身 或 服务 单位 的 需求 ， 总 是 有 架设 各 种 网 络 服务 器 的 
时 刻 ， 这 个 时 候 大 多 数 的 前 辈 都 全 


推荐 他 们 使 用 Linux 做 为 服务 器 架设 的 操作 系统 。 但 因为 这 些 朋 友 很 
多 都 没有 受过 Linux 操作 系统 操 

作 方 面 的 训练 ， 因 此 总 觉得 反正 都 是 操作 系统 ， 所 以 Linux 应 该 也 跟 
Windows 差不多 吧 ! 那么 就 硬 着 

头皮 使 用 图 形 接口 去 设 定 好 众多 的 服务 器 ， 也 有 可 能 参考 网 络 上 一 些 
文章 ， 即 使 是 透 过 文字 接口 去 设 定 ， 

也 能 够 很 轻松 的 作 好 服务 需 的 架设 。 问 题 是 ， 这 样 的 一 部 服务 器 是 很 
容易 被 绑架 的 ， 而 且 ， 如 果 网 络 不 


通 ， 你 如 何 自 行将 问题 克服 (trouble shooting)? 难道 出 问题 只 能 无 语 问 
苍天 ? 所 以 嚼 ， 除 非 你 只 是 


暂时 需要 架设 网 络 服务 器 ， 可 以 请 朋友 或 其 他 信息 公司 帮 你 忙 ， 如 采 
你 本 喘 吏 是 信息 方面 的 服务 提供 商 ， 


那 乌 哥 建议 你 在 进行 服务 器 实务 设 定之 前 ， 看 一 看 这 篇 ， 试 试看 你 到 
奔 有 没有 具备 网 络 服务 器 的 设 定 技 


能 了 呢 ? 


1.1 前 言 : Linux 有 哈 功 能 


1.1.1 只 想 用 Linux 架设 服务 器 需要 啥 能 力 ? 


1.1.2 架设 服务 器 难 不 难 呢 ? 


1.2 基本 架设 服务 器 流程 


1.2.2-2 服务 器 本 身 的 安装 规划 与 架 站 目的 的 搭配 全 新 安装 


1.2.2-3 服务 器 本 身 的 基本 操作 系统 操作 :_ 建立 账号 , 修改 权限 , Quota, 
LVM 


1.2.2-5 服务 器 软件 设 定 . 学 习 设 定 枝 巧 刁 


1.2.2-6 细部 权限 与 SELinux 


1.2.3 系统 安全 与 备份 处 理 

1.3 目 我 评估 是 否 已 经 具有 纺 设 服务 器 的 能 

1.4 本 章 习 题 

1.5 针对 本 文 的 建议 :， http:/phorum.vbird.org/viewtopic.php?t=23676 


1.1 前 言 Linux 有 啥 功能 


很 多 刚 接触 Linux 的 朋友 常常 会 问 的 一 句 话 就 是 ，『 我 学 Linux 束 是 
为 了 架设 服 


务 器 ， 有 既然 只 是 为 了 架设 服务 右 ， 为 什么 我 还 要 学 习 Linux 的 其 他 功 
能 ? 例如 : 例 行 


性 工作 排 程 、Bash Shell ， 又 干 嘛 去 认识 所 有 的 登录 档 等 等 ， 我 又 用 
不 到 ! 此 外 ， 既 


然 有 好 用 的 Web 接口 的 Server 设 定 软件 ， 可 以 简单 的 将 网 站 架设 起 
来 ， 为 什么 我 还 


要 去 学 习 vim 手动 的 编辑 一 些 配 置 文件 ” 干 嘛 还 需要 去 理解 服务 部 的 
工作 的 原理 ? 4 


上 面 这 些 话 对 于 刚刚 学 会 架设 网 站 的 人 来 说 ， 真 是 替 他 们 道 出 了 一 个 
新 手 的 心声 啊 ! 不 


过 ， 对 于 任何 一 个 曾经 有 过 架设 公开 网 站 的 朋友 来 说 ， 上 面 这 些 话 ， 
真 的 是 会 害 死 人 | 


为 什么 呢 ? 底下 我 们 束 来 分 析 一 下 。 
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1.1.1 只 想 用 Linux 架设 服务 避 需 要 啥 能 力 ? 


如 果 有 人 问 你 : TLinux 最 强大 的 功能 是 什么 4? 大 概 大 家 都 会 回答 
[是 网 络 功能 


啊 ! 4 ， 接 下 来 ， 如 果 对 方 再 问 : 『 所 以 学 Linux 就 是 为 了 架设 服务 
右 嗓 ? 」 了 呵呵 ! 


这 个 问题 可 就 见仁见智 鸣 ! 说 穿 了 ，Linux 其 实 就 是 一 套 非常 稳定 的 
操作 系统 ， 任 何 


工作 只 要 能 在 Linux 这 个 操作 系统 上 面 跑 ， 那 他 束 是 Linux 可 以 达成 
的 功能 之 一 中 |! 


所 以 Linux 的 作用 实在 不 止 于 网 络 服务 絮 的 架设 呐 。 


举例 来 说 ， 在 Linux 上 面 开 发 跨 平 台 的 数值 模式 (model) 诸如 大 型 的 
大 气 仿 真 模 


式 ， 由 于 Linux 的 稳定 与 完善 的 资源 分 配 功能 ， 使 得 在 Linux 上 面 开 
发 出 来 的 程序 运 


作 的 又 快 又 稳定 。 此 外 ， 诸 如 KDE, GNOME 等 漂亮 的 图 形 接口 ， 搭 
配 诸 如 Open Office 


等 办 公 室 软件 ，Linux 立刻 摇号 一 变 而 成 为 优秀 的 办 公 室 桌面 计算 机 
了 (Desktop)。 此 


外 ，Google 制作 出 专门 给 手机 系统 用 的 Android 也 是 以 Linux 为 底 开 
发 的 。 所 以 说 ， 


千 万 不 要 小 看 了 Linux 的 多 样 功能 呐 。 


不 过 ， 不 管 怎么 说 ，Linux 的 强大 网 络 功能 确实 是 造成 Linux 能 够 在 
服务 器 领域 


内 占有 一 席 之 地 的 重要 项 目 。 既 然 如 此 ， 我 们 就 好 好 的 来 探索 一 下 
Linux 的 网 络 世 界 


吧 ! 首先 ，Linux 到 展 可 以 达成 哪些 网 络 功能 呢 ? 这 可 束 多 着 咯 ! 不 
论 是 WWW , Mail, 


FTP DNS, 或 者 是 DHCP NAT 与 Router 等 等 ，Linux 系统 都 可 以 达 
到 ， 而 且 ， 只 


一 部 Linux 束 能 够 达到 上 面 所 有 的 功能 了 ! 当然 ， 那 是 在 不 考虑 网 络 
安全 与 效能 的 情 


况 下 ， 你 可 以 使 用 一 部 Linux 主机 来 达成 所 有 的 网 络 功能 。 


但 是 你 得 要 知道 ，『 架 站 容易 维护 难 」 啊 ! 更 深 一 层 来 说 ，『 维 护 还 
好 、 除 错 更 难 


啊 ! 4 架设 一 个 网 站 有 什么 难 的 ? 即使 你 完全 没有 摸 过 Linux ， 只 要 
参考 乌 哥 的 书籍 


或 者 是 网 站 ， 而 且 一 步 一 步 照 着 做 ， 包 准 你 一 个 下 午 融 可 以 架设 完成 
五 个 以 上 的 网 络 服 


务 了 ! 所 以 说 ， 架 设 服 务 右 有 什么 难 的 ? 但 要 晓得 的 是 ， 这 样 的 一 个 
网 站 ， 多 则 三 天 ， 


少 则 数 小 时 ， 立 刻 就 会 被 入 侵 了 ! 此 外 ， 被 入 侵 之 后 ， 或 许可 以 娠 由 
一 些 工具 来 帮 你 


将 root 的 密码 救 回 来 ， 可 惜 的 是 ， 这样 的 一 个 网 站 还 是 有 被 做 为 中 继 
站 的 危险 存在 


的 ! 


另外 ， 如 果 你 使 用 工具 (例如 Webmin) 却 怎么 也 架设 不 起 来 某 个 网 站 
时 ， 要 怎么 


解决 ? 如 果 你 不 懂 该 Server 的 运作 原理 与 Linux 系统 的 除 错 讯 忧 ， 那 
么 难道 只 能 


语 问 苍天 ? 不 要 怀疑 这 种 情况 的 可 能 性 ， 参考 一 下 各 大 论坛 上 面 的 留 
言 束 可 以 很 清楚 


的 知道 这 种 情况 的 存在 有 越 来 越 明 显 的 趋势 呢 ! 

所 以 说 ， 架 设 服务 器 之 前 还 是 有 一 些 基 本 的 技能 需要 学 会 的 ! 而 且 这 
些 技能 是 『 一 
且 学 会 之 后 ， 真 正 是 终身 受用 啊 ! J4 只 要 化 一 个 学 期 (三 ~ 六 个 月 ) 吏 
能 学 会 一 者 子 可 


以 使 用 的 技能 ， 这 个 学 习 的 投资 报酬 率真 是 太 高 了 ! 所 以 ， 一 开始 的 
学 习 不 要 觉得 藻 ， 


那 真 的 是 值得 的 喔 ! ^ 和 
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Tips: 

举例 来 说 ， 乌 哥 在 2003 ~ 2005 年 跑 去 当 兵 了 ， 当 兵 期 间 很 少 碰 
Linux 啦 ! 等 到 退伍 后 接 到 的 第 一 个 班 要 带 Linux 国际 证 照 时 ， 几 
乎 所 有 的 指令 都 在 看 不 起 乌 哥 @_@~ 不 过 ， 

懂得 学 习 的 方法 的 乌 哥 ， 

透 过 man 啦 ， 透 过 google 啦 ， 透 过 以 前 学 习 的 一 些 概念 啦 ， 明 
到 问题 几乎 都 可 以 在 一 分 钟 内 解决 ， 同 学 也 不 会 有 突然 不 知 所 云 的 
困扰 ! 你 说 ， 这样 是 不 是 很 好 呢 ? 


Linux 不 十 很 好 学 ， 根 据 乌 哥 过 去 教学 的 经 验 ， 很 多 同学 在 学 Linux 时 
真是 非 第 的 痛 

昔 ， 不 过 学 完 之 后 ， 以 前 在 Windows 上 面 遇 到 的 困难 却 也 自然 而 然 
的 迎 尺 而 解 ! 因为 


Linux 训练 我 们 时 ， 是 要 我 们 去 解决 一 个 发 现 的 问题 ， 这 过 程 需 要 很 
多 基础 知识 的 培 


养 ， 所 以 学 完 他 之 后 ， 你 会 觉得 很 多 事情 都 变 的 很 简单 而 单纯 。 但 如 
果 使 用 Windows 的 


懒 人 方案 ， 很 多 问题 束 不 可 能 了 解 为 险 会 发 生 与 为 喧 可 以 这 样 处 理 
J 


分 析 一 下 架设 服务 器 的 流程 ， 也 会 提供 相对 应 的 你 应 该 要 会 的 Linux 
技能 喔 ! 


1.1.2 架设 服务 妖 难 不 难 呢 ? 


不 管 是 Windows 还 是 Linux ， 要 架设 好 一 部 堪 称 完美 的 服务 器 ， 『 基 
本 功课 J 还 


是 得 做 的 ， 这 包括 了 : 
1. 基础 网 络 的 基本 概念 ， 以 方便 进行 联网 与 设 定 及 除 错 ; 


2. 询 悉 操作 系统 的 简易 操作 ， 包 括 登 录 分 析 、 账 号 管理 、 文 书 编辑 器 
的 使 用 等 


等 的 技巧 ; 
3. 信息 安全 方面 :包括 防火 墙 与 软件 更 新 方面 的 相关 知识 等 等 ; 


人 
人 


而 且 ， 每 一 个 项 目 里 面 所 需要 学 习 的 技巧 可 多 着 呢 ! 
『 什 么 ? 要 学 的 东西 那么 多 啊 ! 4 


征 啊 ! 所 以 ， 不 要 以 为 信息 管理 人 员 整 天 闲 朵 没事 干 的 呐 ， 大 家 可 是 
天 天 在 出 卖 知 识 


的 ， 同 时 ， 还 得 天 天 应 付 随时 可 能 会 发 生 的 各 种 漏洞 与 网 络 攻击 手法 
呢 ! 真 不 是 人 干 


的 汪 作 3 


这 么 说 的 话 ， 架 设 服 务 器 真 的 是 挺 难 的 喔 ! 事实 上 ， 架 设 服 务 右 其 实 
训 简 单 的 哩 ! 


号 ! ~ 怎么 又 说 架设 服务 器 简单 了 ? 不 是 说 架设 服务 器 难 吗 ? 呵呵 | 
其 实 『 架 设 服务 


亏 很 难 」 征 由 于 朋友 们 学 习 的 角度 有 点 侦 关 的 原因 啦 ! 还 记得 当初 进 
入 理工 学 院 的 时 


候 ， 天 天 在 念 的 东西 是 基础 物理 、 基 础 化 学 、 工 程 数学 与 流体 力学 等 
基础 科目 ， 这些 


科目 伦 了 我 们 一 至 两 学 期 的 时 间 ， 而 且 内 容 还 很 难 呐 一 都 是 一 大 堆 的 


理论 背 不 完 。 怪 


了 ? 我 们 进 理工 学 院 是 为 了 求 取 更 高 深 的 知识 ， 那 么 这 些 基础 知识 学 
了 有 什么 用 呐 ? 


呵呵 ! 更 高 深 的 知识 都 是 建构 在 这 些 基本 科目 的 理论 上 面 的 ， 所 以 万 
一 你 基础 的 科目 


没有 读 好 ， 那 么 专业 科目 里 面 提 到 的 基本 理论 怎么 可 能 听 的 慌 ? 


这 样 说 应 该 束 不 难 了 解 了 吧 ! 没 错 ! 认识 操作 系统 与 该 操作 系统 的 基 
本 操作 ， 还 有 


那个 重要 的 网 络 基 础 ， 束 是 我 们 在 架设 服务 器 前 的 『 基 础 科目 J」 啦 ! 
所 以 说 ， 在 进入 
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Linux 的 服务 絮 世 界 之 前 ， 真 的 不 能 够 略 过 网 络 基础 的 相关 知识 ， 同 
时 ， Linux 系统 


的 基本 技能 也 必需 要 能 够 理解 呐 ! 


好 了 ， 或 许 你 还 是 对 于 Linux 系统 里 面 『 什 么 是 很 重要 的 知识 J 不 其 
了 解 ， 采 真 


如 此 的 话 ， 那 么 我 们 束 举 个 简单 的 例 于 来 说 明 一 下 嗓 ! 底下 列 出 一 般 
的 架设 服务 絮 流 程 ， 


我 们 由 架设 服务 器 的 流程 当中 ， 来 看 一 看 什么 是 重要 的 Linux 相关 技 
能 吧 ! 和 信人。 


Tips: 

在 这 一 章 当 中 ， 乌 哥 不 再 就 linux 基础 指令 进行 解析 ， 因 为 在 工 乌 
可 的 Linux 私房 荣 -- 基础 学 习 篇 」 里 面 已 经 详细 的 介绍 过 了 ! 如 
果 持 续 的 介绍 指令 ， 简 直 是 浪费 篇 幅 ~~ 所 以 底下 仪 介绍 一 个 Linux 
基础 学 习 重 要 性 的 分 析 喔 ! 

1.2 基本 架设 服务 如 流程 


里 然 不 同 的 服务 器 提供 的 服务 并 不 相同 ， 而 且 每 种 服务 的 原理 也 不 见 
得 都 一 样 ， 不 


过 ， 每 种 服务 器 由 规划 、 架 设 到 后 续 的 安全 维护 ， 其 实 整个 流程 是 大 
同 小 异 的 。 什 么 ? 


你 不 相信 啊 ? 为 了 让 你 相信 ， 那 我 们 束 来 一 项 一 项 的 分 析 看 看 吧 


1.2.1 网 络 服务 器 成 功 联机 的 分 析 


克 下 我 们 束 整 个 服务 器 的 简易 架设 流程 当中 来 分 析 一 下 ， 以 了 解 为 什 
么 了 解 操 作 系 


统 的 基础 对 于 网 站 维护 是 相当 重要 的 呢 ? 首先 ， 到 放 我 们 是 如 何 联机 
到 服务 器 的 ? 联 


ee 我 们 先 以 打下 这 张 图 示 来 作 个 简单 的 说 明 
于 
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伺服 如 设 定 值 


http, ftp, samba... 


| 

| 

防火 羔 

| iptables, tcp_ wrappers 
| 


权限 的 和 缕 部 设 定 
SELinux 


Internet 


档 灾 系统 的 权限 


r, W, X 


ai 


1.2-1、 网 络 联机 至 服务 器 所 需 经 过 的 各 项 环节 


Vk 到 故我 们 联机 到 服务 器 想 要 得 到 什么 ? 举例 来 说 ， 你 
联机 到 


Youtube 想 要 看 影片 ， 所 以 对 方 束 提供 影片 串 流 数据 给 你 你 连 到 
Yahoo 想 要 看 新 闻 ， 


所 以 对 方 束 提供 新 闻 的 文本 文件 给 你 ， 你 联机 到 无 名 小 站 想 要 看 类 
女 ， 对 方 束 传 图 档 给 


你 ; 你 联机 Facebook 想 要 去 种 田 ， 对 方 束 参考 你 之 前 留 下 来 的 记录 ， 
从 数据 库 里 面 将 


你 的 记录 拿 出 来 传 给 你 。 看 到 没有 ， 你 联机 到 服务 右 ， 重 点 在 取得 对 
方 的 数据 ， 而 一 


般 数据 的 存在 束 是 使 用 档案 喝 ! 那 你 有 没有 权限 取得 ? 最 终 与 该 文件 
系统 的 设 定 有 关 啦 ! 


上 图 显示 的 是 :前 先 ， 客 户 端 到 服务 右 的 网 络 要 能 够 通 ， 等 到 客户 端 
到 达 服 务 器 后 ， 


会 和 完 由 服务 右 的 防火 墙 判 断 该 联机 能 否 放 行 ， 等 到 放行 之 后 才能 使 用 
到 服务 此 软 件 的 


功能 。 而 该 功能 又 得 要 通过 SELinux 这 个 细部 权限 设 定 的 项 目 后 ， 才 
能 够 读 取 到 文件 


系统 。 但 能 不 能 读 到 文件 系统 呢 ? 这 又 跟 文 件 系 统 的 权限 (rwx) 有 关 
啦 ! 上 述 的 每 个 


部 分 都 要 能 够 成 功 ， 否 则 束 无 法 顺利 读 取 数 据 哆 。 


所 以 ， 根 据 上 面 的 流程 我 们 大 概 可 以 将 整个 联机 分 为 几 个 部 分 ， 包 
括 : 网 络 、 服 务 


右 本 喘 、 内 部 防火 墙 软件 设 定 、 各 项 服务 配置 文件 、 细 部 权限 的 
SELinux 以 及 最 终 最 


重要 的 档案 权限 。 克 下 残 分 儿 个 细 项 来 谈 谈 路 。 
1. 网 络 : 了 解 网 络 基础 知识 与 所 需 服务 之 通讯 协议 


既然 要 架设 服务 器， 站 先 当 然 得 要 了 解 一 下 因特网 。 因 为 不 管 是 哪 种 
操作 系统 ， 


后 想 肥 与 因特网 联机 ， 这 个 网 络 基础 陨 得 了 解 。 举例 来 说 ， 了 网 域 4 


请 公 
有 安 


谈 到 的 概念 ， 当 你 发 现 一 个 设 定 为 192.168.1.0/255.255.255.0 上 时， 有 晓得 
那 是 


什么 网 东西 吗 ? 如 采 不 知道 的 话 ， 呵 呵 ! 绝对 无 法 设 定好 网 站 的 啦 ! 
oh 


2 站， 


何 你 需要 服务 右 ? 当然 是 想 要 达成 菜 项 网 络 服务 。 举例 来 说 ， 传 输 档 
案 可 以 用 


FTP， 那 WWW 可 以 传递 档案 吗 ? 网 亏 可 以 传递 吗 ? 各 有 何 用 处 ? 哪 
个 比较 方便 ? 


对 于 客户 或 老板 来 说 ， 我 们 所 设 定 的 服务 能 否 满足 他 们 的 需求 等 等 ， 
这 都 需要 了 


解 ， 否 则 你 将 一 头 雾 水 啊 ! 因此 这 部 份 你 就 得 要 了 解 : 
net.qiang(Ohotmail.com 


0 基本 的 网 络 基础 知识 包括 以 太 网络 硬 件 与 协议 、TCP/IP、 网 络 联 
机 


所 需 参 数 等 ; 


0 0 
件 。 


2. 服务 器 本 喘 : 了 人 解 架 网 络 服 务 占 之 目的 以 配合 主机 的 安装 规划 


想 要 以 设 服务 器 吗 ? 那 .…. 架 什么 服务 右 ? 这 个 服务 器 要 不 要 对 Internet 
开放 ? 


这 个 服务 要 不 要 针对 客户 提供 相关 账号 ? 要 不 要 针对 不 同 的 客户 账号 
进行 例如 


人 磁盘 容量 、 可 活动 空间 与 可 用 系统 资源 进行 限制 ? 如 有 果 要 进行 各 项 次 
产 的 限制 ， 


那 服 务 融 操作 系统 应 该 要 如 何 安 厄 与 设 定 ? 问题 很 多 吧 ! 所 以 ， 先 了 
解 你 要 的 服 


务 器 服务 目的 之 后 ， 后 续 的 规划 才能 陆续 出 和 护 。 不 过 ， 如 果 架 站 只 起 
为 了 T 练 


功 」 而 已 ,呵呵 ! 那 束 不 需要 考虑 太 多 了 ~ 
3. 服务 器 本 身 : 了 解 操 作 系统 的 基本 操作 


网 络 服务 软件 是 需要 建 置 在 操作 系统 上 面 的 ， 所 以 基本 的 操作 系统 操 
作 束 得 要 了 


解 才 行 啊 ! 包括 软件 如 何 安装 与 移 除 ? 如 何 让 系统 进行 例 行 的 工作 管 
理 ? 如 何 


ee 
(LVM 


之 类 )? 系统 如 何 管理 各 项 服务 之 局 动 ? 系统 的 开机 流程 为 何 ? 系统 
出 错时 ， 该 


如 何 进行 快速 复原 等 等 ， 这 都 需要 了 解 的 呢 ! 

4. 内 部 防火 墙 设 定 : 管理 系统 的 可 分 享 资源 

一 部 主机 可 以 拥有 多 种 服务 絮 软 件 的 运作 ， 而 很 多 Linux distributions 
广 


的 默认 值 就 已 经 开放 很 多 服务 给 Internet 使 用 了 ， 不 过 这 些 服 务 可 能 
并 不 是 你 


想 要 开放 的 呢 。 我 们 在 了 解 网 络 基础 与 所 需 服 务 的 目的 之 后 ， 接 下 来 
束 古 透 过 


防火 墙 来 规范 可 以 使 用 本 服务 器 服务 的 用 户 ， 以 让 系统 在 使 用 上 拥有 
较 佳 的 控 管 


情况 。 此 外 ， 不 管 你 的 防火 墙 系统 设 定 的 再 怎么 严格 ， 只 要 是 你 要 开 
放 的 服务 ， 


那 防火 墙 对 于 该 服务 束 没 有 保护 的 效果。 因此 ， 那 个 重要 的 在 线 更 狐 
软件 机 制 整 


一 定 要 定期 进行 ! 否则 你 的 系统 将 会 非常 非常 的 不 安全 
5. 服务 器 软件 设 定 ， 学 习 设 定 技巧 与 开机 是 否 自动 执行 


刚刚 第 一 点 就 提 到 我 们 得 要 知道 每 种 服务 所 能 达成 的 功能 ， 如 此 一 来 
才能 够 架设 


你 万 需 要 的 服务 的 网 站 。 那 你 所 需要 的 服务 臣 由 哪个 软件 达成 的? 同 


一 [上方 肥 方 


可 否 有 不 同 的 软件 ? 每 种 软件 可 以 达成 的 目的 是 否 相同 ? 依据 所 需要 
的 功能 如 


00 ss 
除 错 ? 可 


否定 期 的 分 析 服 务 器 相关 的 登录 信息 ， 以 方便 了 解 该 服务 右 的 使 用 情 
况 与 错误 发 


ns 
定 值 ? 所 


以 这 里 你 可 能 束 得 要 知道 : 
o 软件 如 何 安装 、 如 何 查 询 相关 配置 文件 所 在 位 置 ; 


0 服务 器 软件 如 何 设 定 ? 
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0 


0 服务 器 软件 如 何 启 动 ? 如 何 设 定 目 动 开 机 局 动 ? 如 何 观 察 局 动 的 坦 
加 
o 服务 器 软件 激活 失败 如 何 除 错 ? 如 何 观 察 登录 档 ? 如 何 透 过 登录 档 


服务 器 还 是 防火 墙 ? 

器 的 设 定 修改 是 否 有 建立 日 志 ? 登录 档 是 否 有 定期 分 析 ? 

o 服务 器 所 提供 或 分 享 的 数据 有 无 定期 备份 ” 如 何 定 期 自动 备份 或 异 
地 备份 ? 

6. 细部 权限 设 定 : 包括 SELinux 与 档案 权限 


等 到 你 的 服务 恬 全 部 设 定 妥 当 ， 最 后 你 所 提供 的 档案 数据 权限 却 是 给 
了 fT000J 


1 那 乌 哥 很 肯定 的 说 ， 大 家 都 无 法 读 到 你 所 提供 的 数据 
啊 ...! 此 外 ， 


新 的 distributions 都 建议 你 要 启动 SELinux ， 那 是 什么 噬 吹 ? 如 果 你 
的 数 


据 放 置 于 非 正规 的 目录 ， 那 该 如 何 处 理 SELinux 的 问题 ? 又 如 何 让 档 
案 具有 保 


不 


密 性 或 共享 性 (档案 权限 概念 与 ACL 等 ) 等 等 ， 这 也 都 是 需要 厘清 的 
观念 喔 ! 


上 述 的 服务 器 架设 流程 中 ， 
器 设 定 都 需 


i 实 除了 第 5 点 之 外 ， 其 他 步骤 在 各 服务 


S 


要 了 解 啊 ! 而 且 都 是 一 样 的 东西 说 ! 因此 ， 这 些 基础 如 果 学 会 了 ， 最 
终 ， 你 只 要 知道 


第 5 点 里 面 那 个 软件 的 基础 设 定 ， 你 的 服务 邵 一 下 子 吏 可 以 设 定 完成 
啦 ! 这 样 说 ， 你 


征 否 开始 觉得 基础 学 习 很 重要 啊 ! 人 人 
1.2.2 一 个 常见 的 服务 器 设 定案 例 分 析 


上 上面 讲 完 后 或 许 你 还 古 不 很 清楚 到 底 这 些 技能 如 何 串 起 来 ? 乌 哥 这 里 


提供 一 个 简 


单 的 案例 来 分 析 一 下 好 了 ， 这 样 你 应 该 就 比较 容易 清楚 的 知道 为 何 需 
要 学 习 这 些 噬 噬 。 


和 
a 


五 部 计算 机 需要 串 接 在 一 起 ， 且 都 可 以 对 外 联机 ， 


口 允 外 网 络 ， 你 的 环 滤 只 有 一 个 对 外 的 联机 方式 ， 这 里 假设 征 合演 较 
流行 的 


ADSL 或 10M 的 光纤 这 种 透 过 电话 线 拨 接 的 类 型 ; 


0 额外 服务 : 你 想 要 让 这 五 部 计算 机 都 可 以 上 网 ， 而 且 其 中 还 有 一 部 
可 以 做 为 


网 络 驱 动 嚣 机， 提供 同 学 或 家 人 作为 数据 备份 与 分 译 之 用 ; 


口服 务 右 管理 :由 于 你 可 能 需要 进行 远程 管理 ， 因 此 你 这 部 服务 右 得 
要 开放 联 


机 机 制 ， 以 让 远程 计算 机 可 以 联机 到 这 部 主机 来 进行 维护 ; 


0 防火墙 管理 ， 因 为 担心 这 部 做 为 档案 分 译 服 务 右 的 系统 被 攻击 ， 因 
此 你 需要 


针对 卫 来 源 进 行 全 入 权力 的 控制 ; 


0 账号 管理 : 男 外 ， 由 于 同学 的 数据 有 隐 密 与 共 至 之 分 ， 因 此 你 还 得 
要 提供 每 


个 同学 个 别 的 账号 ， 且 每 个 账号 都 有 磁盘 容量 的 使 用 限制 ; 
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0 后 端 分 析 : 最 后 ， 由 于 担心 系统 出 问题 所 以 你 得 要 让 系统 目 动 定期 
分 析 人 磁盘 


使 用 量 、 有 登录 文件 参数 信息 等 等 。 


在 上 述 的 环境 中 ， 你 要 考虑 的 东西 有 哪些 呢 ? 依据 本 小 市 一 开始 谈 到 
的 六 个 步 又 来 


分 析 的 话 ， 你 可 能 需要 底下 这 些 吹 吃 喔 ! 
1.2.2-1 了 解 网 络 基础 
0 硬件 规划 


我 们 想 要 将 五 部 计算 机 串 接 在 一 块 ， 但 是 却 又 只 有 一 个 可 以 对 外 的 联 
机 ， 此 时 就 得 


要 购买 集 线 右 (hub) 或 者 是 交换 器 (switch) 来 串 接 所 有 的 计算 机 了 。 但 


征 这 两 者 


何不 同 ? 为 何 switch 比较 贯 ? 我 们 知道 网 络 线 被 称 为 RJ-45 的 网 络 
线 ， 但 网 络 线材 


竟然 有 等 级 之 分 ， 这 个 等 级 要 怎么 分 辨 ” 不 同等 级 的 线材 速度 有 没有 
芷 异 ? 等 到 这 些 硬 


件 基 础 了 解 之 后 ， 你 才能 够 针对 你 的 环境 来 进行 联机 的 设计 。 这 部 份 
我 们 等 到 下 一 革 


再 来 介绍 。 
0 联机 规划 


由 于 只 有 一 条 对 外 联机 而 已 ， 因 此 通常 我 们 就 建议 你 可 以 用 如 下 的 方 
式 来 串 接 你 的 


网 络 : 
1.2-2、 硬 件 的 网 络 联机 示意 图 


透 过 IP 分 译 侨 ， 我 们 的 五 部 计算 机 束 都 能 够 上 网 了 。 此 时 你 得 要 注 
意 ， 能 否 上 网 


与 Internet 有 关 ，Internet 就 是 那 有 名 的 TCP/IP 通讯 协议 ， 而 想 要 了 解 
网 络 就 得 


要 知道 啥 是 OSI 七 层 协定 。 我 人 D 道 能 连 上 Internet 与 所 谓 的 IP 有 
关 ， 那 么 我 

们 内 部 这 五 部 计算 机 所 取得 的 卫 能 不 能 拿 来 架 站 ? 也 就 是 说 ，IP 有 
没有 不 同 种 类 ? 

如 果 卫 分 享 句 突然 挂 了 ， 那 你 的 这 五 部 计算 机 能 不 能 联机 玩 魔 粤 ? 这 
就 考虑 你 的 网 络 


参数 设 定 问题 了 | 

0 网 络 基础 
net.giang(@hotmail.com 
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如 有 果 你 的 同学 或 家 人 跑 来 跟 你 说 ， 网 络 不 通 哩 ! 你 直觉 会 是 什么 ? 硬 
件 问题 ? 软件 


问题 ? 还 是 啥 莫名 其 妙 的 问题 ? 如 果 你 不 懂 网 络 基础 的 卫 相关 参 
数 ， 包 括 路 由 设 定 

以 及 领域 名 系统 (DNS) 的 话 ， 肯 定 不 知道 怎么 进行 联机 测试 的 。 所 以 
路 ， 此 时 你 就 会 


家 要 说 : 『 护 么 都 不 懂 还 想 要 管理 我 们 家 网 络 ]... 那 时 不 是 很 粮 吗 ? 
所 以 要 学 好 一 些 


嘛 ! 这 部 份 就 很 复杂 了 ， 包 括 TCP/IP, Network IP Netmask IP, 
Broadcast IP, 


Gateway, DNS IP 等 等 ， 都 需要 理解 喔 ! 


了 解 了 这 些 原理 之 后 ， 你 才能 够 进行 除 错 (debug) 的 工作 ， 否 则 ， 错 
误 一 出 ， 你 


可 能 整 会 被 加 的 吴 头 的 ! 最 常见 的 错误 中 ， 举 例 来 说 ， 如 果 你 的 主机 
明明 就 可 以 使 用 


ping 这 个 指令 去 接触 远方 的 主机 (ping IP)， 但 是 就 是 无 法 使 用 ping 


hostname 云 接 


触 远 方 的 主机 ， 请 问 ， 这 个 原因 是 什么 呢 ? 了 解 网 络 基 础 的 朋友 一 看 
束 知 道 几乎 是 DNS 


出 问题 了 ， 不 上 晓得 的 朋友 就 是 想 破 头 也 得 不 到 答 条 。 既 然 知 道 出 问题 
的 地 方 ， 束 能 够 针 


对 该 问题 去 处 理 嘛 ! 


网 络 基础 会 影响 到 你 的 网 络 设 定 古 否 正确 ， 这 真 的 很 重要 呐 ， 因 为 ， 
如 果 你 的 网 络 


不 通 ， 那 么 即使 服务 絮 染 设 成 功 了 ， 别 人 可 以 看 的 到 吗 ? 所 以 说 ， 要 
架 丫 ， 真 的 得 对 


网 络 基础 的 部 分 下 一 些 功夫 才 行 的 。 关 于 网 络 基 础 这 部 份 我 们 在 基础 
篇 并 没有 谈 过 ， 所 


1.2.2-2 服务 器 本 喘 的 安装 规划 与 架 站 目的 的 搭配 


所 示 ，Server 端 是 在 那 五 部 计算 机 之 中 ， 而 且 Server 必 
须要 提供 


针对 不 同 账 号 给 予 网 络 张 动 硕 机 ， 我 们 这 边 会 提供 网 入 (SAMBA) 这 
个 服务 ， 因 为 他 可 


以 在 Linux/Windows 之 间 通 用 之 故 。 且 由 于 需要 提供 账号 给 使 用 者 ， 
以 及 想到 未 来 的 


人 磁盘 扩充 情况 ， 因 此 我 们 想 要 将 /home 独立 出 来 ， 且 使 用 LVM 这 个 
管理 模式 ， 并 搭 


配 Quota 机 制 来 控制 每 个 账号 的 磁盘 使 用 量 。 


的 规 


范 ， 否 则 分 割 槽 给 到 错误 的 目 孙 ， 会 造成 无 法 开机 ! 那 为 什么 要 将 
/home 独立 放 入 一 


个 分 割 槽 ? 那 旦 因为 quota 仅 文 持 和 esystem 而 不 文 持 单 一 目录 啊 ! 
好 了 ， 如 果 给 


你 一 部 全 新 的 主机 ， 那 你 该 如 何 安 钱 你 的 系统 呢 ? 

实 作 题 -全 新 安装 : 

请 到 昆山 科大 (http://ftp.ksu.edu.tw/FTP/CentOS/), 义 守 大 学 
(http:/ftp.twaren.neVLinuxwCentOS/ ) 下 载 最 新 的 Linux 映像 档 来 刻 永 


(2011/07 可 下 载 最 新 版 为 CentOS 6.0)， 并 且 依 据 上 壕 的 需求 安装 好 你 
的 Linux 


系统 (最 重要 的 其 实 就 是 那个 分 割 而 已 ， 其 他 的 动作 可 以 在 安装 完成 
后 再 说 )。 


答 : 

由 于 Linux 的 安装 我 们 已 经 在 基础 篇 内 的 第 四 章 介绍 过 了 ， 这 里 我 人 
不 再 使 

用 图 形 接口 来 说 明 ， 仅 使 用 文字 说 明 来 介绍 你 在 每 个 项 目 应 该 处 理 的 
动作 而 已 。 
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此 外 ， 由 读者 们 的 啊 应 发 现 ， 学 习 者 经 党 只 有 一 部 主机 ， 因此， 这 里 
我 们 建议 你 


使 用 Virtualbox (http:/www.virtualbox.org/) 来 仿真 出 一 部 实体 主机 ， 以 
安 


竣 你 的 测试 环境 。 并 请 注意 ， 这 部 主机 将 会 使 用 在 本 书 的 各 个 章节 测 


试 中 


Virtualbox 的 安装 与 设 定 请 目 行 参考 其 官网 上 面 的 Documentation 介 
绍 ， 这 里 不 


再 发 言 。 只 是 需要 注意 的 是 ， 者 (1) 逢 要 染 设 网 站 来 上 网 ， 建 议 网 络 
使 用 桥接 模 


9 ， 且 网 络 卡 类 型 使 用 Intel 的 棵 面 计算 机 类 型 即 可 。 (2) 由 于 
我 们 


未 来 会 教导 NAT 服务 右 ， 因 此 最 好 有 两 张 网 卡 ， 一 张 使 用 bridge 一 张 
使 用 内 网 


(intnet) 较 佳 。 而 (3) 人 磁盘 配置 建议 使 用 SATA 类 型 ， 且 容量 请 给 予 
25GB 以 上 。 


(4) 内 存 至 少 该 给 予 512MB 以 上 ， 最 好 有 1GB 来 测试 。 其 他 的 请 参考 
官网 文件 ， 


或 者 使 用 默认 配置 即 可 。 当 然 啦 ， 如 果 你 有 独立 的 实体 机 顺 来 安 效 ， 
那 束 更 好 了 ! 


不 需 理会 这 一 小 段 文 字 的 说 明 喔 。 


默认 配置 如 下 : 
0 分割 表 请 依 如 下 方式 进行 : 
0/:2GB 


o /boot: 200MB 
0 /usr : 4GB 
0 /Var : 2GB 
o /tmp : 1GB 


0 swap : 1GB 


o /home: 5GB， 并 且 使 用 LVM 模式 建 置 

o 其 他 容量 请 保留 ， 未 来 再 来 进行 额外 练习 ! 

0 软件 挑选 时 ， 请 选择 『 basic server J 项目 即 可 ; 

0 信息 安全 部 分 ， 防 火 墙 选择 启动 ，SELinux 选择 强制 (Enforce); 


0 假设 站 分 享 做 有 目 动 分 配 IP 的 功能 ， 所 以 网 络 参数 先 选 择 DHCP 
即 


可 ,未 来 再 目 己 修改 。 
实际 流程 大 致 如 下 ( 乌 哥 以 CentOS 6.0 为 例 说 明 ) 
1. 由 于 我 们 使 用 光驱 开机 来 安装 系统 ， 因 此 得 先进 入 BIOS ， 选 择 区 


驱 开 

机 ， 并 且 将 CentOS 6.x 的 DVD 放 入 光驱 中 ; 

2. 在 启动 安装 的 画面 中 ， 选 择 『Install or upgrade an existing systemy 
来 安装 新 系统 ; 

3. 出 现 『 Disc Found J 字样 ， 此 时 建议 可 以 选择 『 Skip 4 即 可 略 过 ; 
4. 在 欢迎 画面 以 鼠标 点 选 『 Next J ; 

5. 语系 数据 可 以 选择 『Chinese(Traditional)( 中 文 (正体 ))J ; 

6. 键 如 格式 保留 『 美 式 英 文 ] 即 可 ; 

7. 安装 包含 的 装置 类 型 ， 直 接 选 择 默认 的 『 基 本 储存 装置 4 即 可 ; 


8. 因为 我 们 是 全 者 的 硬盘 ， 因 此 会 出 现 一 个 找 不 到 分 割 表 的 错误 ， 此 
时 选 


择 『 重 新 初始 化 」 即 可 ; 


9. 进入 网 络 主机 名 的 设 定 ， 先 保留 flocalhost.localdomain4 即 可 。 同 


画面 中 还 有 一 个 『 配 置 网 络 4 的 选项 ， 我 们 先 不 要 动 他 ! 等 未 来 谈 到 
网 络 设 
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新 增 分 割 区 

档案 系统 持 载 用 (M) ;|/ v| 

档案 系统 类 型 (T) ; 。 | ext4 Ss 
= me 

可 使 用 的 磁 碟 机 (D) : 

额外 的 大 小 选项 


@ 固定 大 小 (F) 

〇 填 注 分 割 区 直到 (MB) (U) : 

〇 境 水 分 割 区 至 可 使 用 的 最 大 值 (a) 
口 强制 成 六 主要 分 割 区 (p) 
口 加 密 (E) 


| 取消 (C) || 确定 (Q) | 


定 再 来 处 理 即 可 ; 

10. 进入 时 区 选择 ， 请 选择 『 了 亚洲 /台北 4 即 可 ; 

11. 出 现 root 密码 制作 ， 这 里 我 们 先 设 定 为 『 centos J 吧 ! 这 个 密码 
太 简 单 ， 系 统 会 出 现 警告 ， 你 选择 『 照 样 使 用 4 即 可 。 你 也 可 以 自行 


设 定 其 


他 密码 ; 


人 因为 我 们 有 上 自己 的 分 割 考 虑 ， 所 以 ， 
选择 


【建立 目 定义 分 割 格 式 」 来 处 理 喔 ! 


13. 在 出 现 分 割 画面 中 ， 移 点 选 『sdaJ 项 目 ， 然 后 点 选 『 建 立 4 的 按 
二 ; 


在 出 现 的 窗口 中 ， 再 点 选 『 标 准 分 割 区 J 项目 ， 然 后 点 【建立 。 在 
最 后 


的 窗口 中 填写 挂 载 氮 、 容 量 等 信息 后 ， 最 终 按 下 【确定 4 即 可 。 最 终 
画面 有 


点 像 这样 : 
1.2-3、 分 制 的 参数 下 达 示 意图 
据 前 面 的 分 割 规 划 ， 持 续 进 行 上 述 的 动作 ， 将 所 有 的 分 割 都 处 理 


TE 


除了 /home 之 外 。 
5. 由 于 /home 想 要 使 用 LVM 的 方式 来 建立 文件 系统 ， 因 此 点 选 『 建 


后 ， 选 择 TLVM 实体 卷 册 J 项 目 ， 按 下 建立 ， 在 出 现 的 分 割 窗口 中 容 
量 填写 


0 


5GB， 示 意图 有 点 像 这 样 : 


net.giang(@hotmail.com 


新 培 分 割 区 


档案 系统 持 载 点 (M) : 
档案 系统 类 型 (T) ; physical volume (LVM) 全 
Y 
可 使 用 的 磁 碟 机 (D) : 
khag: Bo 1 
额外 的 大 小 玩 项 
@) 固定 大 小 (F) 


〇 境 苏 分 割 区 直到 (MB) (u) : 
〇 填 注 分割 区 至 可 使 用 的 最 大 值 (a) 
口 强制 成 敲 主 要 分 审 区 (p) 
口 加 密 (E) 
| 取消 (C) | | 确定 (0) | 


图 1.2-4、 分 割 出 LVM 分 割 槽 的 方式 


接 下 来 回 到 原本 的 分 割 画 面 后 ， 按 下 【建立 4 并 选择 TLVM 卷 册 群 


组 4 项 目 ， 


在 出 现 的 窗口 中 ， 卷 册 组 名 填写 『serverJ ， 并 且 在 右 下 方 的 逻辑 卷 册 


部 分 


按 下 工 者 增 4 ， 又 会 额外 出 现 一 个 窗口 ， 此 时 融 填 入 /home 的 相关 参 


数 啦 ! 


主意 ， 逻 辑 卷 册 我 们 这 里 设 定 为 myhome 喔 ! 画面 有 点 像 底 下 这 
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建立 LYM 举 册 群 组 


崖 册 群 组 名 和 必 (V) : |server < | 


实 骨 局 区 (P) : 14 MB | <| 
sda2 5000.00 MB 


要 使 用 的 实体 卷 山 (U) : 


建立 于 辑 涯 册 
档案 系统 持 载 点 (M) : ome I > 

已 用 空间 2 
刊 诊 空 间 :| 档案 系统 类 型 (F) : | ext4 2 ] 


了 (LL 
还 辑 兴 山 (L) i 
大 小 (MB) (S): 4996 | 


口 加 密 (E) (最 大 空间 为 4996 MB) 新 境 (A) | 
| 取消 (C) | | 确定 (0) | | 坊 辑 (E) | 
一 除 (D) | 
大 小 持 载 
ee ne 和 ls 
也 LVM 卷 山 群 组 
v server 4996 
myhome 4996 /home ext4 V 
六 硬 碟 
~ sda 
sdal 200 /boot ext4 Vv 
sda2 5000 server physical volume (LVM) VY 
sda3 4000 /usr ext4 Vv 
~ sda4 16399 延伸 
sda5 2000 / ext4 Vv 


1.2-5、 建 立 最 终 的 LVM 的 LV 与 /home 


a 终 的 显示 有 点 像 确 下 这 样 ， 然 后 请 按 下 『 下 
一 上 消 


继续 。 但 由 于 痢 建 分 割 需 要 格式 化 ， 所 以 又 会 出 现 一 个 警告 窗口 ! 没 


问题 

的 ， 选 择 『 格 式 化 」 以 及 『 将 变更 写 至 磁盘 J 吧 ! 

1.2-6、 分 割 的 最 终结 

net.qiang@hotmail.com 

名 

16. 出 现 启动 加 载 程序 作业 ， 都 使 用 默认 值 即 可 ， 请 按 『 下 一 步 」 
17. 出 现 安装 类 型 ， 因 为 我 们 主机 的 角色 为 服务 器 ， 因 此 选择 『Basic 


Serverj 项 目 ! 其 他 项 目 保留 默认 ， 然 后 按 下 『 下 一 步 」 就 开始 进行 
安装 


程序 哆 ! 
18. 经 过 一 段 时 间 的 等 每 ， 出 现 重新 局 动 后 ， 你 就 重新 局 动 吧 ! 喔 ! 要 


记得 


将 DVD 拿 出 来 喔 ! (怪异 的 是 ， 乌 哥 第 一 次 安装 后 ， 竟然 发 现 电 源 管 
理 有 


问题 ， 得 在 kernel 处 增加 noapic 才能 顺利 开机 呢 ! ) 
19. 装 好 并 重新 启动 后 ， 就 会 进入 runlevel 3 的 纯 文本 界面 ! 因为 是 服 


务 


磺 嘛 ! 
1.2.2-3 服务 做 本 吴 的 基本 操作 系统 操作 


既然 我 们 这 部 主机 得 有 要 提供 不 同 账号 来 使 用 他 们 目 己 的 网 络 碟 动 硕 ， 
因此 还 需要 建 


立 账 号 啊 ， 使 用 磁盘 配额 (quota) 等 等 的 。 那么 你 会 不 会 建立 账号 
呢 ? 你 会 不 会 建 置 


共享 目 孙 呢 ? 你 能 不 能 处 理 每 个 账号 的 Quota 配额 呢 ? 如 果 /home 的 
容量 不 足 了 ， 


你 会 不 会 放大 /home 的 容量 呢 ? 有 没有 办 法 将 系统 的 磁盘 使 用 情况 定 
期 的 发 送 邮 件 给 


管理 员 呢 ? 这 些 都 是 基本 的 维护 行为 喔 ! 我 们 放下 焉 以 几 个 实际 例子 
来 练习 看 看 你 的 


基础 能 力 吧 | 

例题 -大 量 建 置 账号 :_ 

假设 我 的 五 个 朋友 账号 分 别 是 vbirduser{1,2,3,4,5}， 且 这 五 个 朋友 未 来 
想 


局 


共享 一 个 目录 ， 因 此 应 该 要 加 入 同一 个 群 组 ， 假 设 这 个 群 组 为 
vbirdgroup ， 且 这 五 


个 账号 的 密码 均 为 password。 那 该 如 何 建 置 这 五 个 账号 ? 
答 : 

你 可 以 写 一 文 脚本 程序 来 进行 上 述 的 工作 喔 ! 
[root@localhost ~]# mkdir bin 

[root@localhost ~]# cd /root/bin 

[root(Olocalhost bin]# vim useradd.sh 

#!/bin/bash 


groupadd vbirdgroup 


for username in vbirduserl vbirduser2 vbirduser3 vbirduser4 vbirduser5 
do 
Useradd -G vbirdgroup $username 
echo "password" | passwd --stdin $username 
done 
[root(Olocalhost bin]# sh useradd.sh 
[root@localhost bin]# id vbirduser1 
Uid=501(vbirduser1) gid=502(vbirduser1) 
net.qiang(Ohotmail.com 
groups=502(vbirduser1),5201(vbirdgroup ) 
context=root:system _r:unconfined_t:SystemLow-SystemHigh 
最 后 利用 id 这 个 指令 来 查询 看 看 ， 是 否 群 组 的 支持 是 对 的 啊 1! 
例题 - 共 至 目录 的 权限 : 
这 厂 个 朋友 的 共 tk 享 卓 好 建 置 于 /home/vbirdgroup 这 个 日 隶 ， 这 个 目录 


这 五 个 人 使 用 ， 且 每 个 人 均 可 于 该 目录 内 进行 任何 动作 ! 奎 有 其 他 人 
则 无 法 使 用 ( 没 


有 权限 )， 那 该 如 何 建 置 这 个 目录 的 权限 呢 ? 


竹 -. 


Er : 


考虑 到 共享 目录 ， 因 此 目录 需要 有 SGID 的 权限 才 行 ! 否则 个 别 群 组 
数据 会 让 


这 五 个 人 彼此 间 无 法 修改 对 方 的 数据 的 。 因 此 需要 这 样 做 : 
[root@localhost ~]# mkdir /home/vbirdgroup 

[root@localhost ~]# chgrp vbirdgroup /home/vbirdgroup 

[root@localhost ~]# chmod 2770 /home/vbirdgroup 

[root@localhost ~]# 1 -d /home/vbirdgroup 

drwxrws---. 2 root vbirdgroup 4096 2011-07-14 14:49 /home/vbirdgroup/ 


# 上 面 特殊 字体 的 部 分 就 是 你 需要 注意 的 部 分 史 ! 特别 注意 那个 权限 
的 s 功 


能 喔 ! 


例题 -Quota 实 作 : 


假设 这 五 个 用 户 均 需要 进行 磁盘 配额 限制 ， 每 个 用 户 的 配额 为 2GB 
(hard) 以 


及 1.8GB (soft)， 该 如 何 处 理 ? 
答 : 


这 一 题 实 作 比 较 难 ， 因 为 必须 要 包括 文件 系统 的 文 持 、quota 数据 文件 
建 置 、 


quota 局 动 、 建 立 用 户 quota 信息 等 过 程 。 整 个 过 程 在 基础 篇 有 讲 过 
了 ， 这 里 很 快 


速 的 市 领 大 家 进行 一 次 吧 ! 
#1. 启动 flesystem 的 Quota 文 持 


[root@localhost ~]# vim /etc/fstab 


UUID=01ac{f085-69e5-4474-bbc6-dc366646b5c8 / ext4 defaults 1 1 
UUID=eb5986d8-2179-4952-bffd-eba31fb063ed /boot ext4 defaults 1 2 
/dev/mapper/server-myhome /home ext4 

defaults,usrquota,grpquota 1 2 
UUID=605e815f-2740-4c0e-9ad9-14e069417226 /tmp ext4 defaults 1 2 
.…( 底 下 省 略 ).… 


# 因为 是 要 处 理 用 户 的 磁盘 ， 所 以 找到 的 是 home 这 个 目录 来 处 理 的 
呵 ! 


# 另外 ，CentOS 6.x 以 后 ， 默 认 使 用 UUID 的 人 磁盘 代号 而 非 使 用 文件 
名 o 


# 不 过 ， 你 还 是 能 使 用 类 似 /dev/sdal 之 类 的 档 名 啦 ! 

[root(Olocalhost ~]# umount /home; mount -a 

[root@localhost ~]# mount | grep home 

/dev/mapper/server-myhome on /home type ext4 (rw,usrquota,grpquota) 
net.qiang(Ohotmail.com 

# 做 完 使 用 mount 去 检查 一 下 /home 所 在 的 印 esystem 有 没有 上 述 的 字 
腿 ! 

# 2. 制作 Quota 数据 文件 ， 并 启动 Quota 文 持 

[root@localhost ~]# quotacheck -avug 


quotacheck: Scanning /dev/mapper/server-myhome [/home| done 


.…( 底 下 省 略 ).… 


会 出 现 一 些 错 误 的 警告 信息 ， 但 那 是 正常 的 ! 出 现 上 述 的 字样 束 对 
了 ! 


[root@localhost ~]# quotaon -avug 
/dev/mapper/server-myhome [/homel: group quotas turned on 
/dev/mapper/server-myhome [/home]: user quotas turned on 
# 3. 制作 Quota 数据 给 用 户 

[root@localhost ~]# edquota -u vbirduser1l 

Disk quotas for user vbirduser1 (uid 500): 

Filesystem blocks soft hard inodes soft 

hard 

/dev/mapper/server-myhome 20 1800000 2000000 50 

0 


# 因为 Quota 的 单位 是 KB ， 所 以 这 里 要 补 上 好 多 0 啊 ! 看 的 眼睛 都 
伦 了 | 


[root(Olocalhost ~]# edquota -p vbirduserl vbirduser2 

# 持续 作 几 次 ， 将 vbirduser{3,4,5} 通通 伞 上 去 ! 
[root(Olocalhost ~]# repquota -au 

*** Report for user quotas on device /dev/mapper/server-myhome 
Block grace time: 7days; Inode grace time: 7days 

Block limits File limits 


User used soft hard grace used soft hard 


root --2400300 

vbirduser] -- 20 1800000 20000005 00 

vbirduser2 -- 20 1800000 2000000500 

vbirduser3 -- 20 1800000 2000000 500 

vbirduser4 -- 20 1800000 2000000500 

vbirduser5 -- 20 1800000 2000000500 

# 看 到 没 ? 上 述 的 结果 就 是 有 发 现 到 设 定 的 Quota 值 史 ! 
整个 流程 就 是 这 样 ! 

例题 -文件 系统 的 放大 (LVM): 


纯粹 假设 的 ， 我 们 的 /home 不 够 用 了 ， 你 想 要 将 /home 放大 到 7GB 可 
不 可 行 
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啊 ? 


因为 当初 就 担心 这 个 问题 ， 所 以 /home 已 经 是 LVM 的 方式 来 管理 
了 。 此 时 我 


们 要 来 瞧 瞧 VG 够 不 够 用 ， 如 琳 够 用 的 话 ， 那 束 可 以 继续 进行 。 如 果 
不 够 用 呢 ? 我 


们 就 得 要 从 PV 着 手 哆 ! 整个 流程 可 以 是 这 样 来 观察 的 。 


#1. 先 看 看 VG 的 量 够 不 够 用 : 
[root@localhost ~]# vgdisplay 
--- Volume group --- 

VG Name server 

System [ID 

Format lvm2 

…( 中 间 省 略 )..… 


VG Size 4.88 GiB <== 只 有 区 区 5G 左右 


PE Size 4.00 MiB 

Total PE 1249 

Alloc PE / Size 1249 / 4.88 GiB 

Free PE / Size 0 /0 <== 完 全 没有 剩余 的 容量 了 | 

VG UUID SvAEou-2dquf-Z1TIr-Wsdz-2UY8-Cmfm-Ni0Oaf 


# 真 惨 ! 已 经 没有 多 余 的 VG 容量 可 以 使 用 了 ! 因此 ， 我 们 得 要 增加 
PV 才 行 。 


#2. 开始 制作 出 所 需要 的 partition 吧 ! 作为 PV 用 的 ! 
[root@localhost ~]# fdisk /dev/sda <== 详 细 流 程 我 不 写 了 ! 自己 瞧 
Command (m for help): p 

Device Boot Start End Blocks Id System 


…( 中 间 省 略 )..… 


/dev/sda8 1812 1939 1024000 83 Linux <== 最 后 一 

个 人 磁 柱 

Command (m for help): n 

First cylinder (1173-3264, default 1173): 1940 <== 上面 查 到 的 号 码 加 1 
Last cylinder, +cylinders or +size{ K,M,G} (1940-3264, default 3264): 
+2G 

Command (m for help): t 

Partition number (1-9): 9 

Hex code (type L to list codes): 8e 

Command (m for help): p 

Device Boot Start End Blocks Id System 

/dev/sda9 1940 2201 2104515 8e Linux LVM <== 得 到 

/dev/sda9 
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Command (m for help): w 

[root@localhost ~]# partprobe <== 在 虚拟 机 上 面 得 要 reboot 才 行 ! 
#3. 将 /dev/sda9 加 入 PV， 并 将 该 PV 加 入 server 这 个 VG 吧 
[root@localhost ~]# pvcreate /dev/sda9 

[root@localhost ~]# vgextend server /dev/sda9 


[root@localhost ~]# vgdisplay 


.…( 前 面 省 略 ).…. 

VG Size 6.88 GiB <== 这 个 VG 最 大 就 是 6.88G 啦 

…( 中 间 省 略 )..… 

Free PE / Size 513 / 2.00 GiB <== 有 多 出 2GB 的 容量 可 用 了 ! 


#4. 准备 加 大 /home， 开 始 前 ， 还 古 先 观察 一 下 才 增 加 LV 容量 较 好 


[root@localhost ~]# lvdisplay 
--- Logical volume --- 
LV Name /dev/server/myhome <== 这 是 LV 的 和 名字! 


VG Name server 


…( 中 间 省 略 )..…… 
LV Size 4.88 GiB <== 只 有 5GB 左右 ， 需 要 增加 2GB 哎 
.…( 底 下 省 略 ).…. 


# 看 起 来 ， 征 需要 增加 容量 哆 ! 我 们 使 用 lvresize 来 扩大 容量 吧 ! 
[root@localhost ~]# lvresize -L 6.88G /dev/server/myhome 
Rounding up size to full physical extent 6.88 GiB 

Extending logical volume myhome to 6.88 GiB <== 处 理 完 毕 鹃 
Logical volume myhome successfully resized 

# 看 来 确实 是 扩大 到 6.88GB 嘿 ! 开始 处 理 文件 系统 吧 ! 

# 5. 扩大 文件 系统 


[root@localhost ~]# resize2fs /dev/server/myhome 


resize2fs 1.41.12 (17-May-2010) 

Filesystem at /dev/server/myhome is mounted on /home; on-line resizing 
required 

old desc blocks = 1, new_desc blocks=1 

Performing an on-line resize of /dev/server/myhome to 1804288 (4k) 
blocks. 

The filesystem on /dev/server/myhome is now 1804288 blocks long. 
[root@localhost ~]# df -h 

文件 系统 Size Used Avail Use% 挂 载 点 
/dev/mapper/server-myhome 

6.8G 140M 6.4G 3% /home 
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避 

.….( 其 他 省 略 ).… 

# 可 以 看 到 文件 系统 确实 有 放大 到 6.8G 喔 ! 这 样 了 解 了 吗 ? 


做 完 上 面 的 实 作 之 后 ， 现 在 你 晓得 为 什么 在 基础 篇 的 时 候 ， 我 们 一 直 
强调 一 些 有 的 


没有 的 了 吧 ? 因为 那些 东西 在 这 里 都 用 的 上 ! 如 果 本 章 这 些 题 目 你 都 
不 会 ， 甚 至 连 为 


什么 要 作 这 些 东 西 都 不 慌 的 话 ， 那 得 赶紧 回去 阅读 基础 篇 ， 不 要 再 念 
下 去 了 ! 会 非常 


非常 蔷 兰 的 吻 | 
1.2.2-4 服务 器 内 部 的 资源 管理 与 防火 墙 规划 
你 可 知道 本 章 第 一 个 实 作 题 安装 好 了 你 的 Linux 之 后 ， 系 统 到 的 开放 


了 多 少 服务 

呢 ? 这 些 服务 有 没有 对 外 面 的 世界 开放 监听 ? 这 些 服务 有 没有 漏洞 或 
者 是 能 不 能 进行 

网 络 在 线 更 新 ? 这 些 服务 如 有 果 没 有 要 用 到 ， 能 不 能 关闭 ? 此 外 ， 这 些 
服务 能 不 能 仅 开 


放 给 部 分 的 来 源 使 用 而 不 是 对 整个 Intemet 开放 ? 这 都 是 需要 了 解 的 
呢 。 底 下 我 们 


台 以 几 个 小 案例 来 让 你 了 解 一 下 ， 到 雄 哪 些 数 据 是 你 必须 要 熟悉 的 
呢 ? 


在 目前 的 runlevel 之 下 ， 取 得 预 设 局 动 的 服务 有 哪些 呢 ? 此 外 ， 我 的 
系统 日 


前 不 想 启动 目 动 网 络 挂 载 (autofs) 机 制 ， 我 不 想 要 局 动 该 服务 的 话 ， 
该 如 何 处 理 ? 


默认 的 runlevel 可 以 使 用 runlevel 这 个 指令 来 处 理 ， 那 我 们 预 设 使 用 3 
号 


的 runlevel， 因 此 你 可 以 这 样 做 : 
[root@localhost ~]# LANG=C chkconfig --list | grep '3:0n' 


上 面 指令 的 输出 讯息 中 ， 会 有 autofs 服务 是 在 启动 的 状态 ， 如 果 想 要 
关闭 他 ， 可 


以 这 样 做 : 
[root@localhost ~]# chkconfig autofs off 
[root@localhost ~]# /etc/init.d/autofs stop 


上 面 提 到 的 仅 只 是 有 启动 的 服务 ， 如 果 我 想 要 了 解 到 启动 监听 
TCP/UDP 封包 的 服 


务 (网 络 封 包 格 式 下 章 会 谈 到 )， 那 该 如 何 处 理 ? 可 以 参考 底下 这 个 练 
习题 喔 ! 


例题 -查询 局 动 在 网 络 监听 的 服务 


我 想 妥 检查 目前 我 这 部 主机 局 动 在 网 络 端 口 口 监听 的 服务 有 哪些 ， 并 
且 关 闭 不 


要 的 程序 ， 该 如 何 进行 ? 
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网 络 监听 的 端口 口 分 析 ， 可 以 使 用 如 下 的 方式 分 析 到 |: 
[root@localhost ~]# netstat -tulnp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

1005/rpcbind 


tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 


1224/sshd 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 
1300/master 

tcp 0 0 0.0.0.0:35363 0.0.0.0:* LISTEN 
1023/rpc.statd 

tcp 00:::111 :::* LISTEN 
1005/rpcbind 

tcp 0 0 :::22 :::* LISTEN 

1224/sshd 

tcp 0 0::1:25 :::* LISTEN 
1300/master 

tcp 0 0 :::36985 :::* LISTEN 
1023/rpc.statd 

udp 0 0 0.0.0.0:5353 0.0.0.0:* 
1108/avahi-daemon: 

udp 0 0 0.0.0.0:58474 0.0.0.0:* 
1108/avahi-daemon: 

.…( 底 下 省 略 ).… 


现在 假设 我 想 要 关闭 avahi-daemon 这 个 服务 以 移 除 该 服务 启动 的 埋 口 
时 ， 应 该 要 


如 同上 题 一 样 ， 利 用 /etc/init.d/xxx stop 关闭 ， 再 使 用 chkconfig 去 处 理 
开机 


不 局 动 的 行为 ! 不 过 ， 因 为 局 动 的 服务 名 称 与 实际 指令 可 能 不 一 样 ， 
我 们 在 netstat 


上 面 看 到 的 program 项 目 是 实际 软件 执行 文件 ， 可 能 与 /etc/init.d/ 底下 
的 服务 


档 名 不 同 ， 因 此 可 能 需要 使 用 grep 去 撒 取 数据 ， 或 者 透 过 那 好 棒 的 
[tab] 按键 去 


取得 相关 的 服务 档 名 才 行 。 


[root(Olocalhost ~]# /etc/init.d/avahi-daemon stop 


[root@localhost ~]# chkconfig avahi-daemon off 


我 们 常常 会 开玩笑 说 ， 如 采 对 外 开放 的 软件 没有 更 新 ， 那 防火 墙 不 过 
是 个 屁 ! 所 以 


啦 ， 软 件 更 新 是 相当 重要 的 。 在 CentOS 内 ， 我 们 已 经 有 yum 来 进行 
在 线 更 新 了 ， 你 


当然 可 以 目 己 利用 更 改 配置 文件 来 指定 yum 要 去 查询 的 映像 站 (mirror 
site)， 不 过 


这 里 乌 哥 建议 使 用 预 设 的 设 定 值 即 可 ， 因 为 系统 会 主动 的 判断 较 近 的 
映像 站 (虽然 常 弟 


会 误 判 )， 不 需要 人 工 微调 啦 ! 
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例题 -利用 yum 进行 系统 更 新 


假设 你 的 网 络 已 经 通 了 ， 目 前 你 想 要 处 理 全 系统 更 新 ， 同 时 需要 每 天 
次 晨 2:15 


目 动 进行 全 系统 更 新 ， 该 如 何 作 ? 
答 ， 


全 系统 更 新 使 用 yum update 即 可 。 但 是 由 于 yum update 需要 使 用 者 手 
动 输 


入 y 去 确认 真 的 要 安装 ， 因 此 在 crontab 里 头 处 理 相关 任务 时 ， 就 得 要 
使 用 yum -y 


Update 了! 

[root@localhost ~j##yum -yupdate 
# 第 一 次 作 会 进行 非常 之 久 ! 

因为 系统 真 的 有 些 数 据 要 更 新 嘛 ! 
还 是 得 等 待 的 ! 

[root(Olocalhost ~]# vim /etc/crontab 


15 2 ** * root /usr/bin/yum -y update 


不 过 这 里 还 是 要 额外 提醒 各 位 喔 ， 如 采 你 的 系统 有 更 新 过 核心 (kerne]) 
这 个 软件 ， 


务必 要 重新 局 动 啊 ! 因为 核心 是 在 开机 时 加 载 的 ， 一 经 载 入 整 无 法 在 
这 次 的 操作 中 


更 改版 本 的 。 
那个 crontab 档案 的 处 理 ， 以 及 crontab -e 的 指令 应 用 ， 内 容 的 写法 字 


段 不 太 
一 样 ， 请 目 行 参考 基础 篇 的 说 明 去 加 强 学 习 喔 ! 


在 通过 了 上 述 的 各 项 设 定 后 ， 我 们 的 Linux 系统 应 该 是 比较 稳定 些 
了 ， 再 接着 下 


来 ， 我 们 要 开始 来 设 定 闹 源 的 保护 了 ! 例如 ssh 这 个 远程 可 登入 的 服 
务 得 要 限制 住 可 


登入 的 PP 来源， 以 及 制订 防火 墙 规则 流程 等 。 这 部 份 则 是 本 教学 文 
件 后 续 要 着 重 介 


程序 设计 师 所 撰写 的 程序 并 非 十 全 十 美的 ， 所 以 ， 总 是 可 能 有 些 地 
方 没有 设计 好 ， 因 此 惑 造 成 所 谓 的 下 程序 漏洞 上 4 嗓 。 程序 漏洞 所 造 
成 的 问题 有 大 有 小 ， 小 问题 可 能 是 造成 主机 的 当 机 ， 大 问题 则 可 能 
造成 主机 的 机 密 数 据 外 流 ， 或 者 主机 的 操控 权 被 cracker 取得 。 

在 现今 网 络 发 达 的 年 代 ， 程 序 的 漏洞 问题 是 造成 主机 被 攻击 、 入 侵 
的 最 主要 因素 之 一 了 。 因此 ， 快 速 、 有 效 的 针对 程序 漏洞 进行 修补 ， 
征 一 个 很 重要 的 维护 课题 。 


1.2.2-5 服务 需 软 件 设 定 : 学 习 设 定 技巧 与 开机 是 否 目 动 执行 


这 部 份 就 是 整个 服务 器 架设 篇 的 重要 内 容 了 ! 前 一 小 节 也 曾 谈 过 ， 
服务 器 架设 并 


Rt 


分 你 得 要 熟悉 相当 多 的 信息 ， 人 否则 未 来 维护 会 显 的 很 及 烦 。 我 们 以 本 
章 提 到 的 大 前 所 


为 例 ， 我 们 想 要 提供 一 个 网 络 驱 动 絮 机， 那么 网 络 红 动 右 机 使 用 的 机 
制 有 哪些 呢 ? 各 


见 的 除了 网 页 形式 的 分 享 磁 盘 之 外 ， 还 有 常见 的 网 芳 以 及 Linux 的 
NFS 方式 (后 面 章 


广 都 会 继续 谈 到 )。 
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由 于 假设 局 域 网 络 内 的 操作 系统 大 部 分 是 Windows 好 了 ， 因 此 网 廊 应 


该 是 个 比较 


合理 的 磁盘 分 至 选择 。 那 么 网 廊 到 底 局 动 了 多 少 个 坦 口 ? 是 如 何 持续 
提供 网 入 数据 的 ? 


提供 的 账号 有 没有 限制 ? 提供 的 权限 该 如 何 设 定 ” 是 否 可 规定 谁 可 登 
入 某 些 特定 目录 ? 


针对 网 芳 服 务 的 井口 该 如 何 设 定 防 火 墙 7? 如 有 果 系 统 出 错 该 如 何 查 询 错 
误 信息 ? 这 个 网 


方 在 Linux 属 下 要 使 用 什么 服务 来 达成 ?2 这 部 是 需要 学 习 的 呢 ! 


直接 告诉 你 ， 网 芳 的 制作 在 Linux 底下 是 由 Samba 这 套 软 件 来 达成 
的 。Samba 的 

详细 设 定 我 们 会 在 后 续 章 世 介 绍 。 这 里 要 告诉 你 的 是 ， 架设 一 个 网 广 
服务 器 ， 你 应 该 


要 会 的 基础 知识 有 哪些 ? 以 及 告诉 你 ， 你 可 以 背 下 来 的 架设 流程 中 ， 
理论 上 应 该 要 经 


过 哪些 步骤 的 过 程 ， 这 样 对 你 未 来 处 理 服务 器 设 定时 ， 才 会 有 点 帮助 
啊 ! 


1. 软件 安 流 与 查询 


刚刚 我 们 已 经 知道 网 入 需要 安 朔 的 是 Samba 这 套 软 件 ， 那 么 该 如 何 碍 
询 有 没有 


安 逆 呢 ? 如 采 没 有 安 狐 又 该 如 何 安 洲 呢 ? 那 瑟 来 处 理 处 理 。 
例题 : 


查 出 你 的 系统 底下 有 没有 samba 这 套 软 件 ， 若 无 ， 行 查询 与 安装 
该 软件 


痛 的 软件 可 以 使 用 rpm 去 察看 看 ， 尚 未 安装 的 则 使 用 yum 功能 
所 以 可 


以 这 样 进 行 看 看 : 

[root@localhost ~]# rpm -qa | grep -i samba 
samba-common-3.5.4-68.el6_0.2.x86_64 
samba-client-3.5.4-68.el6_0.2.x86_64 
samba-winbind-clients-3.5.4-68.el6_0.2.x86_64 

# 看 起 来 samba 主 程序 尚未 被 安装 啊 ! 此 时 束 要 这 样 做 : 
[root@localhost ~]# yum search samba <== 先 查 一 下 有 没有 相关 的 软件 
[root@localhost ~]# yum install samba <== 找 到 之 后 ， 那 就 安装 吧 ! 


夏 吧 : 


[root@localhost ~]# rpm -gc samba samba-common 
/etc/logrotate.d/samba 

/etc/pam.d/samba 

/etc/samba/smbusers 

/etc/samba/lmhosts 

/etc/samba/smb.conf 

/etc/sysconfig/samba 

2. 

3. 服务 器 主 设 定 与 相关 设 定 


这 部 份 可 克 麻烦 了 ! 因为 你 得 要 了 解 到 ， 你 到 抵 需 要 的 服务 是 什么 ， 
针对 该 服务 
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中 要 设 定 的 项 目 有 哪 名 ”这 些 设 定 需要 用 到 什么 指 人 或 配 轩 文件 等 
等 。 一 般 来 


说 ， 你 得 要 先 察 看 这 个 服务 的 通讯 协议 古 喻 ， 然 后 了 解 该 如 何 设 定 ， 
接 下 来 纺 


辑 主 配 置 文件 ， 根 据 主 配置 文件 的 数据 去 执行 相对 应 的 指令 来 取得 正 
确 的 环境 设 


定 。 以 我 们 这 里 的 网 廊 为 例 ， 我 们 需要 设 定 工作 组 ， 然 后 需要 设 定 可 
以 使 用 网 


0 5 0 0 


i. 
先 使 用 vim 去 编辑 /etc/samba/smb.conf 配置 文件 ; 
ii. 

利用 useradd 建立 所 需要 的 网 芳 实体 用 户 ; 

iii. 

利用 smbpasswd 建立 可 用 网 芳 的 实体 帐户 ; 

iv. 

利用 testparm 测试 一 下 所 有 数据 语法 是 否 正确 ; 
Vv. 

检查 看 看 在 网 芳 内 分 享 的 目录 权限 是 否 正确 。 


这 些 设 定 都 搞定 之 后 ， 才 能 够 继续 进行 启动 与 观察 的 动作 哟 ! 而 想 要 
了 解 更 多 天 


于 samba 的 相关 设 定 技巧 与 应 用 ， 除 了 google 大 神 之 外 ， 


/usr/share/doc 
内 的 文件 ， 以 及 man 这 个 好 用 的 家 伙 都 必须 要 去 阅读 一 番 ! 
4. 服务 器 的 局 动 与 观察 


在 设 定 妥 当 之 后 ， 接 下 来 当然 束 是 局 动 该 服务 做 了 。 一 般 服 务 硕 的 局 
动 大 多 是 使 


用 stand alone 的 模式 ， 如 果 是 比较 少 用 的 服务 ， 如 telnet ， 就 比较 有 
可 能 


使 用 到 super daemon 的 服务 启动 类 型 。 我 们 这 里 依旧 使 用 samba 为 
例 ， 来 颇 


瞧 如 何 局 动 他 吧 ! 
例题 : 
如 何 局 动 samba 这 个 服务 呢 ? 并 且 设 定好 开机 就 司 动 他 ! 


从  . 


D . 


想 要 了 解 如 何 启 动 ， 得 要 使 用 rpm 去 找 一 下 软件 的 启动 方式 ， 然 后 再 
去 处 理 局 


动 的 行为 哆 ! 

# 先 查 询 一 下 启动 的 方式 为 何 : 

[root@localhost ~]# rpm -gl samba | grep yetc 

/etc/logrotate.d/samba 

/etc/openldap/schema 

/etc/openldap/schema/samba.schema 

/etc/pam.d/samba 

/etc/rc.d/init.d/nmb 

/etc/rc.d/init.d/smb <== 所 以 说 是 stand alone 且 档 名 为 smb, nmb 两 


a 


/etc/samba/smbusers 
# 开始 局 动 他 ! 且 设 定 开 机 就 局 动 嘿 ! : 
[root@localhost ~]# /etc/init.d/smb start 


[root@localhost ~]# /etc/init.d/nmb start 
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[root@localhost ~]# chkconfig smb on 


[root@localhost ~]# chkconfig nmb on 


# 接 下 来 ， 让 我 们 观察 一 下 有 没有 局 动 相 关 的 埋 口 吧 ! 


[root@localhost ~j# netstat -tunp | grep '[Snjmbd' 

tcp 0 0 :::139 :::* LISTEN 1484/smbd 

tcp 0 0 :::445 :::* LISTEN 1484/smbd 

udp 0 0 0.0.0.0:137 0.0.0.0:* 1492/nmbd 

udp 0 0 0.0.0.0:138 0.0.0.0:* 1492/nmbd 

最 终 我 们 可 以 看 到 局 动 的 塌 口 有 137, 138, 139, 445 喔 ! 
5. 

6. 客户 端的 联机 测试 


接 下 来 号 是 要 找 一 部 机 右 做 为 客 尸 问 ， 然 后 笠 试 使 用 本 机 器 提供 的 网 
廊 功 能 啊 ! 


这 样 才能 够 了 解 设 定 是 对 还 是 错 ! 相关 的 客户 端 联机 与 服务 器 提供 的 


服务 有 关 ， 


例如 WWW 服务 器 就 要 使 用 browser 去 测试 ， 网 芳 当 然 束 得 要 使 用 网 
芳 客 户 病 程 


序 哆 ! 这 部 份 也 是 本 服务 右 篇 要 讲 的 基本 内 容 啦 ! 


但 十 很 多 时 刻 ， 客 户 端 联机 测试 不 成 功 并 非 是 服务 器 设 定 的 问题 ， 很 
多 是 客户 端 


使 用 方式 不 对 ! 包括 客户 端 目 己 的 防火 墙 没 开 啦 ， 客 户 端的 账 志 权限 


密码 等 等 


记 错 啦 等 等 的 ， 问 题 很 大 啦 ! 总 体 来 说 : 【教育 你 的 Client 使 用 者 具 
有 最 最 


基础 的 Linux 账号 、 群 组 、 档 案 权 限 等 概念 ， 才 是 一 个 彻底 解决 问题 
的 方法 J ， 


但 这 也 是 最 难 的 部 分 ..… 
7. 错误 克服 与 观察 登 孙 档 


0 
妆 告 诉 你 


错误 的 原因 为 何 ， 所 以 你 得 要 注意 屏幕 讯 忌 。 老实 说， 屏幕 讯 尽 通 向 
就 已 经 告 


诉 你 该 如 何 处 理 了 。 如 果 还 不 能 处 理 呢 ? 你 可 以 这 样 处 置 看 看 : 
o 先 看 看 相关 登录 文件 有 没有 错误 讯息 ， 举 例 来 说 ， samba 除了 会 在 
/Var/log/messages 里 面 列 出 讯 奶 外 ， 大 部 分 的 讯 居 应 该 古 授 放 在 
/var/log/samba/ 这 个 目录 下 的 数据 ， 因 此 你 束 得 先 去 查阅 一 番 。 通 前 在 
登录 文件 内 的 信息 ， 会 比 在 屏 禹 上 由 还 要 仔细 ， 那 你 或 可 以 目 行 处 理 


既 
一 | 


0 将 讯 奶 市 入 Google 碍 询 ， 通 稼 可 以 解决 登录 档 出 现 的 但 是 你 没有 办 
法 克服 的 问题 喔 ! 达标 率 可 达 95% 以 上 吧 
o 还 是 不 成 功 ， 那 就 到 各 大 讨论 区 去 发 问 吧 ! 建议 到 酷 学 园 
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最 常 出 现 的 其 实 是 SELinux 的 错误 啦 ! 此 时 就 得 要 使 用 SELinux 的 方 
法 来 等 试 


处 理 嘿 ! 这 也 是 本 服务 器 篇 后 续 会 稍微 提 到 的 内 容 。 
经 过 上 面 的 流程 ， 你 就 可 以 知道 啦 ， 架 设 好 一 部 主机 需要 知道 ， (TD) 各 


个 process 与 


signal 的 观念 (2) 账号 与 群 组 的 观念 与 相关 性 ，(3) 档 案 与 目录 的 权 
限 ， 这 当然 包含 


与 账号 相关 的 特性 ; (4 软件 管理 员 的 学 习 ; (5)BASH 的 语法 与 shell 


scripts 的 语 


法 ， 还 有 那个 很 重要 的 vim 嘿 ! : (6) 开 机 的 流程 分 析 ， 以 及 记录 登录 
文件 的 设 定 与 分 


析 ; (7) 还 得 知道 类 似 quota 以 及 连结 档 等 等 的 概念 。 要 知道 的 真 的 很 
多 ， 而 且 还 是 不 


能 省 略 的 步骤 喔 ! 
1.2.2-6 细部 权限 与 SELinux 


如 果 有 些 特殊 的 使 用 情况 时 ， 权 限 设 定 束 是 个 很 重要 的 因素 。 举 例 来 
说 ， 我 们 系统 


上 面 ， 现 在 有 vbirduser{1,2,3,4,5} 以 及 student 等 账号 ， 而 共享 目 孙 为 


/home/vbirdgroup。 现 在 ， vbirdgroup 的 群 组 想 要 让 student 这 个 用 户 
可 以 进入 该 


共 至 目 隶 查阅， 但 古 不 能 够 更 改 他 们 原本 的 数据 ， 你 该 如 何 进行 呢 ? 
你 或 许可 以 这 样 


想 : 
让 student 加 入 vbirdgroup 群 组 即 可 : 但 如 此 一 来 ， student 具有 
vbirdgroup 的 rwx 权限 ， 也 就 可 以 写 入 与 修改 哆 ， 因 此 这 个 方案 行 不 


通 o 
将 home/vbirdgroup 的 权限 改 为 2775 即 可 : 如 此 一 来 student 拥有 其 


亿 全 由 公 良 (rx)， 但 如 此 一 来 其 他 所 有 任何 人 均 拥有 rx 权限 ， 这 个 方 
案 也 行 


不 通 。 


传统 的 身份 与 权限 概念 就 只 有 上 面 两 种 解决 方案 而 已 ， 这 下 子 严 重 
了 ! 我 们 没有 办 


法 针对 student 进行 权限 设 定 ! 此 时 束 得 要 使 用 ACL 哆 一 同样 这 个 例 
子 ， 我 们 束 来 


例题 -单一 、 群 组 区 设 定 ACL 


想 要 让 student 可 以 进入 /home/vbirdgroup 进行 查询 ， 但 不 可 写 入 。 同 
时 


vbirduser5 在 /home/vbirdgroup 内 ， 不 具有 任何 权限 。 
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三 六: 


全 ACL 哆 ! 由 于 安 凌 时 预 设 格 式 化 束 加 上 acl 的 文件 系统 功能 
可 ， 


因此 你 可 以 直接 处 理 如 下 的 各 项 指令 。 如 果 你 是 使 用 后 来 新 增 的 


partition 或 

filesystem ， 或 许 得 要 在 /etc/fstab 内 额外 增加 acl 控制 参数 才 行 喔 ! 
[root@localhost ~]# useradd student 

[root@localhost ~]# passwd student 

[root@localhost ~]# setfacl -m u:student:rx /home/vbirdgroup 
[root@localhost ~]# setfacl -m u:vbirduser5:- /home/vbirdgroup 
net.qiang(Ohotmail.com 
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[root@localhost ~]# getfacl /home/vbirdgroup 

# file: home/vbirdgroup 

# owner: root 

# group: vbirdgroup 

# flags: -s- 

USer::TWX 

user:vbirduser5:--- 

user:student:r-x <== 就 是 这 两 行 ， 额 外 的 权限 参数 哩 ! 
grOUP::TWX 

mask::rwx 


other::--- 


[root(Olocalhost ~]# 1 -d /home/vbirdgroup 
drwxrws---+ 2 root vbirdgroup 4096 2011-07-14 14:49 /home/vbirdgroup 


上 面 说 的 是 正确 的 权限 控制 行为 。 那 万 一 系统 管理 员 不 是 个 东西 … 不 


是 啦 ! 系统 


管理 员 并 不 知道 权限 的 重要 性 时 ， 常常 会 因为 某 些 特殊 需求 ， 就 将 整 
个 目录 设 定 为 777 


的 情况 ! 举例 来 说 ， 如 采 是 一 个 不 怎么 想 要 人 负责 的 网 管 人 员 ， 为 了 目 
己方 使 “大 这 六 


便 ， 职 将 /home/vbirdgroup 设 定 为 777 ， 这 样 『 大 家 欢喜 」 听 ! 此 
时 ， 如 采 你 没有 


加 上 任何 管理 机 制 ， 嘿 嘿 ! 这 个 群 组 成 员工 作 的 成 采 ， 通 通 可 以 被 大 
家 所 鳃 取 ， 真 十 


要 命 了 | 


为 了 预防 这 种 心 不 在 直 的 管理 员 ， 于 是 就 有 了 SELinux 这 个 玩意 儿 。 
SELinux 主 


要 在 控制 细部 的 权限 ， 他 可 以 针对 某 些 程序 要 读 取 的 档案 来 设计 
SELinux 类 别 ， 当 程 


序 与 档案 的 类 别 形态 可 以 相符 合 时 ， 该 档案 才能 够 开始 被 读 取 。 如 此 
一 来 ， 当 你 配置 


文件 案 权 限 为 777 ， 但 是 因为 程序 与 档案 的 SELinux 例 行 不 符 ， 所 以 
没关系 的 ， 因 为 


该 程序 还 是 读 不 到 该 档案 ! 所 以 我 们 在 图 1.2-1 才 会 将 SELinux 的 图 
示 绘 制 到 


daemon 与 file permission 中 间 啊 |， 


事实 上 SELinux 还 挺 复 杂 的 ， 但 是 我 们 如 果 仅 是 想 要 应 用 而 已 ， 那 么 
SELinux 的 


处 理 方式 通通 可 以 透 过 登 永 档 来 处 置 ! 所 以 SELinux 出 现 问 题 的 机 会 
非常 大 ， 但 是 解 


决 技巧 却 很 侧 单 ! 就 是 透 过 登录 档 内 的 说 明 去 作 即 可 。 详细 的 作法 我 
们 在 后 续 章 市 再 


寺 续 说 明 吧 1 
1.2.3 系统 安全 与 备份 处 理 


老实 说 ， 在 乌 哥 管理 服务 器 的 经 验 来 说 ， 人 硬件 问题 要 比 操作 系统 与 软 
件 问 题 还 来 的 


严重 ， 而 人 的 问题 又 比 硬件 问题 严重 ! 举例 来 说 ， 如 果 你 的 老板 跟 你 
说 : 『 我 要 的 账 


号 是 eric ， 而 且 我 的 密码 也 要 是 eric ! 这 样 比较 好 记 嘛 ! J」 你 应 该 要 
各 么 处 理 呢 ? 
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[果然 需要 再 教育 ! 教育 谁 ? 教育 目 己 啦 ! 是 要 不 耐 还 是 要 说 服 老 
板 别 这 样 一 好 讨厌 


的 感觉 吧 ! 


因此 ， 在 系统 安全 方面 ， 首 要 的 工作 是 透 过 日 常生 活 的 社交 活动 中 ， 


慢 慢 透露 一 些 


质 安 方面 的 困扰 ， 并 提供 老板 一 些 制订 资 安 规则 方面 的 信息 ， 这 样 未 
来 比较 好 或 吹 次 


安 条 件 的 制订 。 我 们 束 完 由 严格 的 密码 来 建议 吧 : 


『【 猜 密码 4 仍 是 一 个 不 可 忽视 的 入 侵 手 段 ! 例如 SSH 如 果 对 Internet 
开放 的 话 ， 


你 又 没有 将 root 的 登入 权限 关闭 ， 那 么 对 方 将 可 能 以 root 尝试 登入 你 
的 Linux 主 


机 ， 这 个 时 候 对 方 最 重要 的 步 又 丈 是 猜 出 你 root 的 密码 了 ! 如 果 你 


root 的 密码 设 定 


成 『12345674 哈哈 ! 想 不 被 入 侵 都 很 难 ~ 所 以 当然 需要 严格 的 规范 
用 户 密码 的 设 定 了 ! 


那么 如 何 规范 严格 的 密码 规则 呢 ? 可 以 大 由 (1 修改 /etc/login.defs 档 
案 里 面 的 规 


则 ， 以 让 用 户 需要 每 半年 更 改 一 次 密码 ， 且 密码 长 度 需 要 长 于 8 个 字 
符 呢 ! (2) 利 用 


/etc/security/limits.conf 来 规范 每 个 使 用 者 的 相关 权限 ， 让 你 的 Linux 
可 以 较为 


安全 一 点 点 ~(3) 利 用 pam 模块 来 额外 的 进行 密码 的 验证 工作 。 


男 外 ， 里 然 『 防 火 墙 元 用 论 汪 常 第 被 提 及 ， 但 古 netfilter (Linux 的 核 
心 内 建 防 


火 墙 ) 其 实 仍 有 他 存在 的 必要 。 因此 你 还 是 得 就 要 你 自己 的 主机 环境 
来 设计 专属 于 自 


己 的 防火 墙 规则 ， 例 如 上 面 提 到 的 SSH 服务 中 ， 你 可 以 仅 针对 某 个 
局 域 网 络 或 某 个 特 


定 IP 开放 联机 功能 即 可 啊 ! 


最 后 ， 备 份 是 不 可 忽略 的 一 环 。 本 下 开头 驶 讲 到 了 ， 马 哥 遇 过 种 彰 莫 
名 其 妙 目 动 重 


开机 或 系统 不 稳 的 ， 经 党 都 不 是 被 攻击 ， 而 是 硬件 内 部 的 电子 零件 老 
化 所 造成 的 系统 


不 稳定 .此 时 ， 异 地 备 援 啦 、 备 用 机 融 的 接管 理 等 等 的 ， 束 很 重要 
哆 ! 而 你 总 不 想 要 


因为 硬 可 挂 点 导致 数据 『 害 害 去 】， 所 以 史 ， 备 份 就 真 他 X 的 重要 
嚼 | 


例题 : 
系统 上 比较 重要 的 上 日 录 有 /etc, /home, /root, /Var/spool/mail 等 ， 你 现在 
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动 使 用 


tar ， 那 该 如 何 处 理 ? 

答 : 

乌 哥 通常 是 使 用 shell script 来 进行 备份 数据 的 汇 整 ， 范 例如 下 : 
[root@localhost ~]# mkdir /root/bin; vim /root/bin/backup.sh 
#!/bin/bash 

backdir="/etc /home /root /var/spool/mail" 

basedir=/backup 

[ !-d "$basedir" ] && mkdir $basedir 
backfile=$basedir/backup.tar.gz 

tar -zcvf $backfile $backdir 


[root@localhost ~]# Vim /etc/crontab 


45 2 * * * root sh /root/bin/backup.sh 


net.giang(@hotmail.com 


0 


无 论 如 何 ， 以 现今 的 网 络 功能 及 维护 来 看 ， 架 设 一 个 『 功 能 性 强 J 的 
求人 这 不 


如 架设 一 个 『 稳 定 且 安全 的 主机 4 比较 好 一 点 ! 因此 ， 对 于 主机 的 安 
全 要 求 瑟 需 要 严格 

的 要 求 啦 ! 束 乌 哥 的 观点 来 看 ， 如 果 你 的 主机 十 用 来 礁 你 赚钱 的 ， 例 
如 某 些 人 研究 单位 


的 大 型 Cluster 运算 主机 ， 那么 即使 架设 一 个 甚至 让 你 锅 得 很 不 方便 
的 防火 墙 系 统 ， 


都 是 合理 的 手段 ! 因为 主机 被 入 侵 殊 算 了 ， 帮 数据 被 鳃 取 ， 呵 呵 ! 那 
可 不 是 曾 着 玩 的 ! 


由 上 面 的 整个 染 站 流程 来 看 ， 由 规划 到 安 狠 、 主 机 设 吓 、 账 号 与 档案 
权限 管理 、 后 


续 安全 性 维护 与 管理 以 及 重要 的 备份 工作 等 等 ， 必需 要 每 个 环节 都 很 
清楚 ， 才 能 够 设 

定 出 一 个 较为 稳定 而 可 正常 工作 的 服务 器 。 而 上 面 的 每 一 个 工作 都 涉 
及 到 相当 多 的 


Linux 基础 操作 与 相关 的 概念 ， 所 以 说 ， 想 要 学 架 站 ， 真 的 真 的 不 能 
省 略 了 Linux 的 


基础 学 习 ， 这 也 是 为 什么 我 们 一 再 强调 Linux 新 手 不 要 一 头 栽 入 想 要 
单纯 染 设 服务 右 


的 迷 思 当中 呐 ! 如 果 你 对 于 上 面谈 到 的 几 个 基础 概念 不 是 很 清楚 的 
话 ， 那 么 建议 你 由 


庶 下 的 两 个 网 站 学 起 : 


LD http:/www.study-area.org 


LD http://linux.vbird.org 
1.3 自我 评估 是 否 已 经 具有 架 站 的 能 力 


网 管 人 员 需 要 什么 能 力 呢 ?我 想 ， 架 几 个 站 跟 作 一 个 称职 的 网 管 人 
员 ， 相差 是 其 


远 的 ! 架 站 ， 说 真 的 ， 是 一 件 很 简单 的 事情 ， 看 着 书本 一 步 一 步 的 作 
上 去 ,一定 可 以 成 


功 的 ! 但 是 ， 很 多 人 都 只 晓得 『 如 何 染 站 J 却 不 知 到 『 如 何 维护 一 个 
网 站 的 安全 J ! 


基本 上 上， 维护 一 个 已 经 染 设 好 的 网 站 的 正 肖 运作 ， 真 的 要 比 架 设 一 个 
网 站 难 的 多 了 ! 


你 得 要 随时 知道 你 的 系统 状况 ， 随 时 注意 是 否 有 新 的 软件 漏洞 而 去 修 
补 他 ， 随 时 要 注 


意 各 种 服务 的 登录 档案 (logfile) 以 了 解 系统 的 运作 情况 ! 得 知道 发 生 问 
题 的 时 候 ， 到 


底 问 题 点 是 在 哪 一 个 | 


比如 说 当 机 了， 那么 你 知道 当 机 的 原因 吗 ? 即使 不 知道 ， 也 可 得 需要 
约略 猜 得 出 


来 才 行 。 而 ， 如 采 安 全 出 了 问题 ， 和 被 入 侵 了 ， 除 了 format + 重 灌 之 
外 ， 可 有 办 法 在 不 


移 除 系统 的 情况 下 修补 漏洞 ? 这 些 都 是 网 管 人 员 需 要 学 习 的 ， 而 且 ， 
通常 都 是 需要 经 


验 的 累积 才 会 知道 问题 的 所 在 ! 此 外 ， 保 持 身 心 的 活力 以 随时 注意 在 
线 公 布 的 安全 防 


备 信息 等 等 ! 都 需要 具备 的 ! 


此 外 ， 最 严重 的 问题 症 ， 网 管 人 员 其 实 最 需要 的 是 『 道 德 感 与 责任 
感 ]! 你 可 要 


明 得 你 的 机 器 上 所 有 人 的 隐私 都 在 你 的 监控 之 下 ， 如果 你 本 喘 束 已 经 
有 偷 颖 欲 了 ， 可 


知道 这 有 多 可 怕 吗 ? 另外 ， 如 有 果 没 有 责任 感 的 人 作为 一 个 网 管 ， 可 能 
会 疯 挥 ， 因 为 不 


论 何 时 何 地 ， 只 要 是 你 监控 的 主机 出 了 问题 ， 嘿 哩 嘿嘿， 你 一 定 是 第 
一 个 补 想 到 的 人 物 ， 


所 以 ， 你 得 随时 随地 做 好 可 能 随时 会 被 各 唤 回 主机 跟前 的 心理 准备 ! 


更 可 笑 的 是 ， 如 果 你 服务 的 人 群 中 ， 有 几 个 连 开机 的 时 候 软 副 驱 动 器 
塞 了 一 块 不 


可 开机 的 软盘 ， 导 致 无 法 正常 开机 ， 也 都 会 跟 你 抱怨 说 『 唉 咏 ! 你 经 
手 的 计算 机 怎么 
这 么 烂 ， 动 不 动 就 不 能 开机 J 的 时 候 ， 你 得 要 有 容 人 的 雅 量 ， 说 说 冷 
笑话 解 解 癌 吧 ! 
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总 之 ， 网 管 人 员 并 不 是 只 要 会 染 站 整 可 以 了 ，『 道 德 感 ]『 贡 任 感 J 
还 有 了 耐心 4 呵 


呵 ! 套 一 句 现在 人 喜欢 说 的 口头 禅 『 这 是 一 定 要 的 啦 ! 4 


网 管 人 员 是 什么 ? 好 久 以 前 看 到 了 报纸 的 一 篇 报导 ， 内 容 大 概 古 说 : 
台湾 的 网 络 


管理 人 员 对 于 『 网 络 安全 性 防护 的 认 知 不 够 ,或 许 是 防火 墙 机 制 建 
立 不 完整 ， 或 者 


是 认为 黑客 不 会 入 侵 小 型 网 站 ， 所 以 在 不 其 了 解 的 情况 下 ， 被 所 谓 的 
『 中 东 黑 客 组 织 4 


所 入 侵 ， 然 后 以 台湾 被 入 侵 的 计算 机 为 跳板 ， 去 攻击 宾 拉 登 的 仇 政 美 
国 ， 然 后 引起 美 


国 高 度 的 不 满 。 由 于 台湾 的 立场 有 点 得 徘 不 得 类 国 ( 这 边 不 提 太 政治 
因素 ， 反 正 目前 


的 情况 是 这 样 。) ， 所 以 一 接 到 美国 来 的 抗议 信 团 殉 很 辣 手 。 这 只 坪 
一 个 事件 问题 ， 


不 过 这 个 事件 问题 也 点 出 了 一 个 重点 ， 束 是 我 们 的 网 络 信息 可 能 真 的 
征 训 发 达 的 ， 不 


过 ， 管 理 网 络 的 人 员 可 能 在 认 知 的 程度 上 束 有 反 参 有 差 不 章 了 ! 网 络 安 
全 是 亦 重要 的 ， 只 


征 ， 大 家 和希 冲 会 环 记 他 ! 个 人 认为 ， 网 管 是 蛮 重 要 的 角色 ， 应 该 不 能 
等 内 视 之 才 对 。 


0 哥 所 想 要 表达 的 意念 之 后 ， 来 评估 看 看 你 


个 称职 的 网 管 人 员 吧 ! 
1. 是 否 具有 Linux 的 基础 概念 : 


这 当然 包含 很 多 部 分 ， 例 如 账号 管理 、BASH、 权 限 的 概念 、Process 
与 signal 的 


概念 、 人 简易 的 硬件 与 Linux 相关 性 (如 mount) 的 认识 、 登 录 档 案 的 解 
析 、daemon 


的 认识 等 等 ， 都 需要 有 一 定 程度 的 了 解 ; 
2. 征 否 具备 基础 网 络 知识 : 
没有 网 络 知识 想 要 架 站 ， 那 是 天 方 夜 谭 ! 请 确认 你 已 经 熟悉 全 


Netmask, route, 


DNS, daemon 与 port, TCP 封包 的 概念 等 基本 知识 ; 
3. 是 否 已 经 里 心 活化 了 : 


人 
补 、 了 网 


上 公告 的 网 络 安全 通报 等 等 ， 还 有 ， 得 要 每 日 分 析 主 机 的 登录 文件 ， 
你 是 否 已 


经 具备 了 随时 注意 这 些 信 息 的 『 耐 心 」 呢 ? 
4. 是 否 具 有 道德 感 与 责任 感 : 


如 果 还 是 具有 一 点 点 的 偷 颖 欲 ， 再 加 调 吧 ! 和 人 和， 另外 ， 如 果 老 板 想 
要 请 你 『 偷 


宽 」 时 ， 请 想 尽 任何 方法 ， 让 他 理解 这 么 做 是 多 么 的 可 笑 ~ 


当然 ， 一 再 强调 的 ， 架 设 一 个 Linux 服务 器 十 很 简单 的 ， 但 是 维护 的 
工作 除了 身 


心 已 经 活化 ， 并 且 还 要 拥有 高 标准 的 道德 感 ， 否 则 ..…. 倒 站 人 灵 怕 是 可 以 
预见 的 一 个 后 


1.4 本 章 习 题 


0 nn samba 软件 未 来 还 会 使 用 到 ， 因 此 请 先 移 除 samba 软 
1 


将 本 章 例 题 中 改写 的 /etc/crontab 内 容 取消 ( 共 两 行 )。 
net.giang(@hotmail.com 

透 过 yum remove samba 或 rpm -e samba 均 可 ， 然 后 用 vim /etc/crontab 
将 那 两 行 取消 吧 ! 


口 如 条 我 有 一 颗 硬盘 在 A 主机 上 面 安装 了 Linux 之 后 ， 拿 到 另 一 人 台 配 
备 相同 


的 B 主 机 上 面 去 进行 开机 ， 结 采 葛 然 无 法 顺利 开机 ， 你 认为 可 能 的 原 
因 是 什么 ? 


不 能 开机 篆 彰 是 因为 找 不 到 根 目 了 永 的 位 置 ， 而 根 目 孙 找 不 到 通常 丈 是 
位 盘 的 


装置 文件 名 错误 所 致 。 目 前 由 于 /etc/fstab 配合 filesystem 都 使 用 
LABEL 


name ， 所 以 不 容易 发 生 这 样 的 情况 。 但 如 有 果 你 曾经 目 行 手 动 处 理 过 


/etc/fstab 
的 话 ， 那 区 必须 要 注意 磁盘 的 朔 置 文件 名 了 ! 透 过 修改 /etc/fstab 以 及 
/boot/grub/menu.lst 或 许 能 够 得 到 方法 解决 。 


0 一 般 来 说 ， 在 Linux 系统 上 ， 用 户 黑 认 的 家 目 孙 在 那个 目 孙 下 ? 田 
外 ， 新 


增 一 个 使 用 者 时 ， 该 用 户 默认 的 家 目录 内 容 来 自 那个 目录 下 ? 
在 /etc/default/useradd 这 个 档案 里 面 会 规范 用 户 的 默认 家 目录 以 及 默 


认 家 目录 的 内 容 ， 一 般 来 说 ， 用 户 默 认 家 目 永 在 /home ， 至 于 家 目录 
内 的 档案 


则 复制 来 源 在 /etc/skel 里 面 。 


0 我 以 原始 码 的 方式 进行 一 个 软件 的 安装 ， 但 是 在 分 析 系 统 的 时 候 ， 
分 析 程 序 


一 直 告 诉 我 找 不 到 cc 这 个 指令 ， 请 问 这 是 什么 问题 ? 为 何 需要 cc ? 
又 ,我 该 


如 何 解决 这 个 问题 ， 好 让 软件 可 以 顺利 的 被 安 厄 在 我 的 Linux 上 面 ? 
因为 是 原始 码 ， 所 以 还 需要 编译 程序 来 将 该 原始 码 编 译 成 为 可 以 在 你 
的 


Linux 系统 上 面 跑 的 binary 档案 ， 在 Linux 上 头 默 认 的 编译 程序 束 是 


gcc 这 


个 编译 程序 (compiler)。 如 果 你 在 安 流 Linux 的 时 候 ， 使 用 Linux 


Installer 


默认 的 软件 选择 ， 那 通 肖 会 没有 安 狐 gcc 以 及 make 等 软件 ， 此 时 ， 
请 使 用 yum 


去 处 理 软件 的 安 狐 吧 ! 


0 0 Linux 系统 怪 怪 的 ， 似 乎 有 什么 不 知名 的 程序 在 内 存 当 
中 殉 ， 


我 该 如 何 将 这 个 不 知名 的 程序 捉 出 来 ， 并 且 将 他 移 除 ? 
如 果 要 提出 程序 (process) 的 话 ， 可 以 使 用 ps -aux 或 者 是 直接 输入 top 


来 查询 process 的 ID (PID)， 找 到 PID 号 码 后 ， 再 以 kill -9 PID 来 删除 
该 


程序 即 可 。 


0 我 总 是 无 法 编辑 某 个 档案 ， 你 认为 应 该 是 什么 问题 造成 的 ? 那 义 要 


决 ? 
无 法 编辑 某 个 档案 ， 可 以 先 使 用 file 这 个 指令 来 查询 一 下 该 档案 的 格 


地 


例如 想 察看 /etc/shadow 的 格式 ， 可 以 下 达 : ffile /etcshadowJ ， 如 
果 是 


文本 文件 ， 却 还 是 无 法 编辑 ， 那 么 最 可 能 发 生 的 原因 殉 是 【权限 4 的 
问题 了 。 可 


以 使 用 ls -] filename 察看 档案 权限 ， 再 以 chmod 或 chown 来 修订 该 档 
区 俯 


案 的 


权限 。 此 外 ， 该 档案 也 可 能 含有 隐 减 属性 ， 可 以 使 用 lsattr filename 查 
阅 ， 


再 以 chattr 来 修订 隐藏 属性 。 
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你 认为 一 个 称职 的 网 管 人 员 应 该 具备 什么 能 力 ? 

能 力 需 求 相当 高 ， 如 了 (1) 操 作 系统 的 基础 知识 (不 论 是 


Linux/Unix/MAC/MS); (2) 网 络 基 础 的 知识 ，(3) 个 别 Internet Services 
的 运 

作 知识 之 外 ， 还 需要 (4) 里 心 保持 在 备战 状态 ， 以 及 (5) 具 有 相当 高 程度 
的 道德 感 、 


责任 感 与 使 命 感 。 


0 我 要 关 挥 cron 这 个 服务 ， 应 该 怎么 头 摊 他 ? 如 采 正 第 的 方法 无 法 关 
闭 这 个 


服务 ， 可 以 使 用 什么 方法 来 关闭 ? 

因为 cron 是 一 个 stand alone 的 服务 ， 所 以 可 以 使 用 
/etc/rc.d/init.d/cron stop 来 关闭; 如 果 还 是 无 法 正常 天 闭 ， 可 以 使 用 ps 
-aux | grep cron 捉 出 该 程序 的 PID ， 然 后 以 kill -9 PID 来 关闭 。 


D 如 琳 一 开机 束 要 执行 某 个 程序 ， 应 该 要 将 该 程序 写 入 那个 档案 里 
面 ? 


可 以 直接 在 /etc/rc.d/rc[run-levelj.d 里 面 加 入 S 开头 的 档案 ， 不 过 ， 


更 简单 的 作法 是 直接 将 该 程序 写 入 /etc/rc.d/rc.local ， 不 过 ， 请 注意 该 
程序 


必须 要 具有 可 执行 的 权限 ， 且 rc.local 也 必须 要 是 可 执行 喔 ! 
2003/07/30: 第 一 次 完成 日 期 | 


2003/08/19: 加 入 了 课 后 练习 ， 如 采 你 无 法 回答 上 面 的 问题 .… 不 要 怀 
疑 ， 赶紧 回去 


参考 Linux 基础 篇 ! 
2003/09/06: 加 入 课 后 练习 的 参考 用 解答 
2006/02/07: 将 原本 的 旧 文 移 到 此 处 


2006/06/06: 将 SATA 接口 的 硬盘 代号 再 次 做 个 修订 ! 目前 SATA 的 格 
式 有 分 两 种 呢 ! 


2007/01/02: 将 一 些 排 版 重 整 ， 将 一 些 日 期 方面 的 数据 重 整 ， 将 课 后 
练习 补 上 来 


2010/05/07: 将 CentOS 4.x 为 底 的 旧 文 章 移动 到 此 处 


2010/07/22: 重新 设计 服务 器 安装 流程 ， 并 且 在 每 个 基础 数据 都 加 上 
练习 ! 尤其 是 全 新 


安装 一 部 server 以 供 使 用 ! 
2011/07/14: 将 原本 基于 CentOS 5.x 为 底 的 旧 文 章 移动 到 此 处 


2011/07/14: 将 安装 与 设 定 的 数据 通通 改 为 CentOS 6.x 的 版 本 咖 ! 更 
源 真 困扰 一 @_@ 
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最 近 更 新 日 期 : 2011/07/15 


你 的 服务 器 古 放 在 网 络 网 络 上 面 来 提供 服务 的 ， 所 以 ， 如 琳 没 有 网 络 
或 者 是 网 络 不 通 ， 那 么 你 的 服务 器 


当然 是 英雄 无 用 武之 地 啦 ! 此 外 ， 服 务 右 上 面 的 网 络 服务 都 是 用 来 达 
成 某 项 因特网 的 通讯 协议 ， 以 提供 


相对 应 的 服务 而 已 。 所 以 哆 ， 你 当然 得 要 知道 这 个 最 基础 的 网 络 概 
念 ， 否 则 ， 当 服务 万 的 服务 出 现 问题 


时 ， 你 该 如 何 解 决 啊 ? 您 说 对 吧 ! 这 部 份 最 重要 的 是 TCP/IP 与 OSI 
七 层 协议 的 相关 概念 了 ， 这 部 份 


难 的 很 一 难 的 很 一 在 这 一 章 中 ， 乌 哥 以 较为 口语 的 方式 来 介绍 这 些 基 
础 网 络 架 构 ， 布 望 能 市 给 朋友 们 快 


速 了 解 网 络 是 哈 。 当 然 ， 想 要 更 了 解 网 络 相关 功能 的 话 ， 文 末 的 参考 
资料 可 以 参考 看 看 嘿 ! A 


2.1 网 络 是 个 什么 玩意 儿 


| 与 CIDR (Classless Interdomain Routing) 


2.3.8 ICMP 协定 


2 4 TCP/P 的 传输 层 相 关 封 名 与 类 


2.4.1 可 靠 联机 的 TCP 协议 :_ 通讯 端口 口 , 特权 井口 (Privileged Ports)， 


Socket Pair 


2.4.2 TCP 的 三 回 交 握 
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oO 

2.7 本 章 习 题 

2.8 参考 数据 与 延伸 阅读 

2.9 针对 本 文 的 建议 :_http:/phorum.vbird.org/viewtopic.php?t=25884 


2.1 网 络 是 个 什么 玩意 儿 


全 世界 的 人 种 有 很 多 ， 人 类 使 用 的 语言 种 类 也 多 的 很 。 那 如 果 你 想 要 
跟 外 国人 沟通 


时 ， 除 了 比 手 划 脚 之 外 ， 你 要 如 何 跟 对 方 讲话 ? 大 概 只 有 两 种 方式 
哆 ， 一 种 是 强迫 他 


学 中 文 ， 一 种 则 十 我 们 学 他 的 语言 ， 这 样 才能 沟通 啊 。 在 目前 世界 上 
的 强势 语言 还 是 属 


于 英语 系 国家 ， 所 以 哎 ， 不 管 是 险 人 种 ， 只 要 学 好 英文 ， 那么 大 家 部 
讲 英文 ,彼此 整 


能 够 沟通 了 。 布 望 不 久 的 未 来 ， 虽 们 的 中 文 能 够 成 为 强势 语言 啊 | 


0 
不 是 只 


Windows/Linux 而 已 ， 还 有 苹果 计算 机 目 己 的 操作 系统 ， Unix like 的 
操作 系统 也 非 


党 多 ! 那么 多 的 操作 系统 (人 种 ) 要 如 何 进行 网 络 沟通 (语言 ) 呢 ? 那 束 
得 要 制订 共同 


遵守 的 标准 才 行 了 。 这 个 标准 是 由 国际 组 织 规范 的 ， 你 的 系统 里 面 只 
要 提供 可 以 加 入 该 


标准 的 程序 代码 ， 那 你 就 能 够 透 过 这 个 标准 与 其 他 系统 进行 沟通 ! 所 
以 哪 ， 网 络 是 跨 


平台 的 ， 并 不 是 只 有 Linux 才 这 么 做 ! 因此 ， 这 部 份 的 资料 你 学 完 
后 ， 是 可 以 应 用 在 


所 以 操作 系统 上 面 的 ! 观念 都 相同 啊 ! 


另外 ， 这 一 个 章节 旨 在 引导 网 络 新 鲜 人 快速 进入 网 络 的 世界 ， 所 以 乌 
哥 写 的 比较 浅 


显 一 些 些 ， 基 本 上 ， 还 有 一 堆 网 络 硬件 与 通讯 协议 并 没有 被 包含 在 这 
篇 短文 里 头 。 如 


林 你 的 求知 欲 已 经 高 过 本 章节 ， 那 么 请 目 行 到 书局 寻找 适合 你 目 己 的 
书籍 来 阅读 ! 当 


然 ， 你 也 可 以 在 因特网 上 面 找到 你 所 需要 的 数据 。 在 本 章 最 后 的 参考 
数据 可 以 瞧 一 瞧 


呐 ! 
2.1.1 什么 是 网 络 


我 们 都 知道 ， 网 络 就 古 几 部 计算 机 主机 或 者 是 网 络 打印 机 之 类 的 接口 


设备 ， 透 过 


网 络 线 或 者 是 无 线 网 络 的 技术 ， 将 这 些 主 机 与 设备 连接 起 来 ， 使 得 数 
据 可 以 透 过 网 络 


媒体 (网 络 线 以 及 其 他 网 络 卡 等 硬件 ) 来 传输 的 一 种 方式 。 请 你 想象 一 
下 ， 如 果 你 家 里 


面 只 有 计算 机 、 打 印 机 、 传 真 机 等 机 器 ， 却 没有 网 络 连接 这 些 硬件 ， 
那么 使 用 工会 不 


会 很 脐 烦 ?” 如 有 果 将 这 个 场景 移 到 需要 工作 的 办 公 室 时 ， 计算 机 的 数据 
无 法 使 用 网 络 连 


接 到 打印 机 来 打印 ， 那 是 否 很 伤 脑筋 昵 ? 对 吧 ! 光 用 想 的 就 觉得 很 麻 
烦 吧 ! 不 幸 的 是 ， 


这 些 太 烦 事 在 1970 年 代 以 前 ， 确 实 是 存在 的 啊 ! 
中 各 目 为 政 的 『 网 络 硬件 与 软件 了 技术 发 展 : Ethernet & Token-Ring 


在 1970 年 代 前 后 ， 为 了 解决 这 个 烦人 的 数据 传输 问题 ， 各 主要 信息 相 
天 的 公司 


都 在 研究 各 目的 网 络 连接 技术 ， 以 使 目 家 的 产品 可 以 在 办 公 室 的 环境 
底下 组 织 
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起 来 。 其 中 比较 有 名 的 就 是 全 杂 公 司 的 Ethernet 技术 ， 以 及 IBM 全 发 
的 


Token-Ring 技术 了 。 但 是 这 些 技 术 有 个 很 大 的 问题 ， 那 束 是 它们 彼此 
不 认识 对 


0 也 就 是 说 ， 万 一 你 的 办 公 室 购买 了 整合 Ethernet 技术 
的 计生 


机 主机 ， 但 是 其 他 的 计算 机 却 是 使 用 IBM 的 机 事 时 ， 想 要 在 这 两 者 
之 间 进 行 数 


据 的 沟通 ， 在 早期 来 说 那 是 不 可 能 的 。 
0D 以 软件 4 技术 将 硬件 整合 : ARPANET & TCP/IP 


为 了 解决 上 壕 的 网 络 硬件 整合 功能 ， 所 以 在 1960 年 代 末期 美国 国防 部 
就 开始 研 
完 一 个 可 以 在 这 些 不 同 的 网 络 硬件 上 而 运作 的 软件 技术 ， 使 得 不 同 公 
司 的 计 和 


机 或 数据 可 以 透 过 这 个 软件 来 达成 数据 沟通 。 这 个 研究 由 类 国 国防 部 


尖端 研究 企 


画 署 (Defense Advanced Research Project Agency DARPAI) 负责 ， 他 们 
将 该 


网 络 系统 称 为 ARPANET， 这 个 吹 吃 就 是 目前 熟知 的 TCP/P 技术 的 外 
形 了 :1 和 枉 


1975 年 左右 ， ARPANET 已 可 以 在 常见 的 Ethernet 与 Token-Ring 等 硬 
件 平台 


底下 互通 数据 了 。DARPA 在 1980 年 正式 推出 TCP/IP 技术 后 ， 由 于 
想 要 推展 


此 项 技术 ， 因 此 与 柏 克 莱 (Berkeley) 大 学 合作 ， 将 TCP/IP 植 入 著名 的 
BSD 


Unix 系统 内 ， 由 于 大 学 力 是 未 来 人 才 数 据 库 的 培养 处 ， 所 以 ， 
TCP/IP 这 项 技 


术 便 吸引 越 来 越 多 使 用 者 的 投入 ， 而 这 种 连接 网 络 的 技术 也 被 称 之 为 


Internet 


( 注 1)。 
DD 没有 任何 王 法 的 因特网 : Internet 
现在 我 们 知道 Internet 就 是 使 用 TCP/IP 的 网 络 连接 技术 所 训 联 起 来 的 


| 
网 络 世 界 ， 而 这 个 Internet 在 1980 年 代 之 后 由 于 对 email 的 需求 以 及 


浏览 


妖 图 形 接口 的 兴起 ， 因 此 快速 的 蔓延 在 计算 机 世界 中 。 但是， 


Internet 有 没 


有 人 在 管理 啊 ? 很 不 巧 的 是 ， Internet 是 一 个 管理 相当 松散 的 所 在 。 
只 要 你 


~ 任何 支持 TCP/IP 技术 的 硬件 与 操作 系统 ， 并 且 实 际 连接 上 网 
络 后 ， 你 


束 进 入 Internet 的 世界 了 。 在 该 世界 当中 ， 没 有 任何 王 法 的 保护 ， 你 
的 实际 数 


0 Internet ， 在 任何 时 刻 都 需要 上 自己 保护 目 己 ， 免 得 中 了 
『[ 流 弹 J 


而 受伤 啊 ! 


为 甚么 说 Internet 没有 王 法 呢 ? 这 是 因为 Pnternet 仅 是 提供 一 个 网 络 的 
这 


接 接口 ， 所 以 你 只 要 连接 上 Internet 后 ， 全 世界 都 可 以 任 你 邀 游 ， 不 
过 也 因 


为 如 此 ， 开 器 海 」 而 来 的 攻击 喊 成 了 简单 的 事件 ， 简单 说 ， 人 台湾 的 法 
律 仅 适 用 


台湾 地 区 对 吧 ? 但 是 计算 机 怪 客 (cracker) 可 以 在 国外 透 过 Internet 对 
你 的 


主机 进行 攻击 ， 我 们 的 法 律 可 管 不 到 国外 地 区 啊 ! 虽然 可 以 透 过 很 多 
国际 管道 


来 寻求 协助 ， 不 过 ， 还 是 很 难 协助 你 缉拿 凶手 的 啊 。 因此 跑 ， 在 你 的 
主机 要 连 


上 Internet 之 前 ， 请 先 询问 目 己 ， 真 的 有 需要 连 上 Internet 吗 ? 人 人 
DD 软 人 硬件 标准 制定 的 成 功 带 来 的 影响 : IEEE 标准 规范 
现在 我 们 常常 听 到 『 你 要 上 网 啊 ! 那 你 要 去 买 网 络 卡 喔 ! 还 得 要 连接 


到 Internet 


才 行 啊 ! 4 这 个 网 络 卡 束 是 市 面 上 随处 可 见 的 一 个 适 配 卡 而 已 ， 至 于 


Internet 
则 是 去 向 Hinet/Seed net 或 其 他 网 络 服务 提供 公司 (Internet Service 


Provider, ISP) 申请 的 账号 密码 。 问题 是 ， 是 否 承 只 有 透 过 网 络 卡 与 
Internet 
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才能 上 网 啊 ? 呵呵 ! 当然 不 是 ! 其 他 不 同 的 网 络 人 硬件 与 软件 可 多 着 
那 ! 不 过 ， 


最 成 功 的 却 是 以 太 网 络 (Etherneb 与 Internet ， 这 是 为 甚么 呢 ? 这 两 者 
的 技 


术 比 较 好 吗 ? 当然 不 是 ! 这 是 因为 这 两 者 都 被 【标准 4 所 文 持 的 缘故 
(2 


以 太 网 络 最 初 是 由 全 和 隶 公 司 (Xerox PARC) 所 建构 出 来 的 ， 而 后 透 过 
DEC, Intel 


与 Xerox 合作 将 以 太 网 络 标 准 化 。 再 经 由 IEEE (Institute of Electrical 
and 


Electronic Engineers 注 3) 这 个 国际 著名 的 专业 组 织 利 用 一 个 802 的 项 
目 制 


定 出 标准 ， 之 后 有 19 家 公司 宣布 支持 IEEE 所 发 布 的 802.3 标准 ， 并 
且 到 了 


1989 年 国际 标准 化 组 织 ISO (International Organization for Standard) 将 


以 太 网 络 编 入 1S88023 标准 ， 呵呵 ! 这 表示 以 太 网 络 已 经 是 一 项 公认 
的 标准 接 


口 了 ， 如 此 一 来 ， 大 家 都 可 以 依据 这 个 标准 来 设 定 与 开发 目 己 的 硬 
件 ， 只 要 硬 


件 符合 这 个 标准 ， 理 论 上 ， 他 束 能 够 加 入 以 太 网 络 的 世界 ， 所 以 ， 购 
买 以 太 网 络 


时 ， 仅 需要 得 看 这 个 以 太 网 络 卡 文 持 哪些 标准 束 能 够 知道 这 个 硬件 的 
功能 有 哪 


些 ， 而 不 必 知 道 这 个 以 太 了 网络 卡 是 由 哪 家 公司 所 制造 的 呐 。 


Tips: 

标准 真 的 是 个 很 重要 的 东西 ， 真 要 感谢 这 些 维护 标准 的 专业 组 织 。 
当 有 公司 想 要 开发 新 的 硬件 时 ， 它 可 以 参考 标准 组 织 所 发 布 与 维护 
的 文件 资料 ， 透 过 这 些 文件 数据 后 ， 该 公司 就 知道 要 制作 的 硬件 需 
要 符合 哪些 标准 ， 同时 也 知道 如 何 设计 这 些 硬 件 ， 让 它 可 以 『 兼 容 J 
于 目前 的 机 器 ， 让 使 用 者 不 会 无 所 适 从 啊 。 包 括 软件 也 有 标准 ， 早 
期 Linux 在 开发 时 就 是 透 过 了 解 POSIX 这 个 标准 来 设计 核心 的 ， 

也 使 得 Linux 上 面 可 以 执行 大 多 数 的 标准 接口 软件 呢 ! 你 说 ， 标 准 
是 否 真 的 很 重要 啊 ! 


口 除 了 硬件 之 外 ，TCP/AP 这 个 Internet 的 通讯 协议 也 是 有 标准 的 ， 这 
些 标准 大 

部 分 都 以 REC (Request For Comments, 注 4) 的 形式 发 布 标准 文件 。 透 
些 文件 的 辅助 ， 任 何人 只 要 会 写 程序 语言 的 话 ， 就 有 可 能 发 展 出 目 己 
的 TCP/IP 


软件 ， 并且 连 接 上 Internet 。 早 期 的 Linux 为 了 要 连接 上 Internet ， 


Linux 


团队 就 目 己 撰 写 出 TCP/IP 的 程序 代码 ， 透 过 的 殉 是 这 些 基 础 文件 的 
标准 依据 


啊 ! 举例 来 说 RFC 1122 ( 注 5) 这 个 建议 文件 融 指 出 一 些 可 以 联机 到 
Internet 的 主机 应 该 要 注意 的 相关 协议 与 基本 需求 ， 让 想 要 撰写 联机 
程序 的 设计 师 可 以 


有 一 个 指引 的 标准 方向 。 


2.1.2 计算 机 网 络 组 成 组 件 


接 下 来 ， 让 我 们 来 谈 谈 那 么 组 成 计算 机 网 络 的 组 件 有 哪些 呢 ? 这 些 组 
件 的 定义 为 何 


啊 ?” 我 们 得 要 多 知道 有 哪些 硬件 嘱 ! 接 下 来 才 好 理解 啊 。 在 这 里 ， 我 
们 以 底下 这 张 联 


机 示意 图 来 解释 好 了 : 
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站 
上 
WS 
Rn 


Switch/Hub ADSL 数据 机 


图 2.1-1、 计 算 机 网 络 联机 示意 图 


在 上 疼 中 ， 我 们 主要 需要 注意 到 的 硬件 有 哪些 呢 ? 大 致 有 展 下 这 些 
啦 : 


D 节点 (node): 节点 主要 是 具有 网 络 地 址 (IP) 的 设备 之 称 ， 因 此 上 面 
图 示 


中 的 一 般 PC、Linux 服务 器 、ADSL 调制 解 调 器 与 网 络 打 印 机 等 ， 个 
别 都 可 以 称 


为 一 个 node ! 那 中 间 那 个 集 线 右 (hub) 是 不 是 万 点 呢 ? 因为 他 不 具有 
IP ， 


因此 hub 不 是 节点 。 


服务 絮 主 机 (servem: 就 网 络 联机 的 方 同 来 说 ， 提 供 数据 以 下 上 咖 应 4 


AAA 
给 


户 的 主机 ， 都 可 以 被 称 为 是 一 部 服务 恬 。 举 例 来 说 ，Yahoo 是 
WWW 服务 器， 


昆山 的 FIP (http://ftp.ksu.edu.tw/) 是 个 文件 服务 器 等 等 。 

0D 工作 站 (workstation) 或 客户 端 (client): 任何 可 以 在 计算 机 网 络 输入 

的 

设备 都 可 以 是 工作 站 ， 若 以 联机 发 起 的 方 同 来 说 ， 主 动 发 起 联机 去 
『 要 求 」 数 


据 的 ， 就 可 以 称 为 是 客户 端 (dlient)。 举 例 来 说 ， 一 般 PC 打开 浏览 妖 
对 Yahoo 


要 求 新 闻 数 据 ， 那 一 般 PC 丈 是 客户 端 。 
DD 网 络 卡 (Network Interface Card, NIC): 内 建 或 者 是 外 揪 在 主机 上 面 的 


个 设备 ， 主要 提供 网 络 联机 的 卡片 ， 目 前 大 都 使 用 具有 RJ-45 接头 的 
以 太 网 络 


卡 。 一 般 node 上 都 具有 一 个 以 上 的 网 络 卡 ， 以 达成 网 络 联机 的 功 
能 。 

2 利用 软件 设计 出 来 的 网 络 接口 ， 主 要 在 提供 网 络 地 址 
(IP) 的 任 


务 。 一 张 网 卡 至 少 可 以 搭配 一 个 以 上 的 网 络 接口 ， 而 每 部 主机 内 部 其 
实 也 都 拥 


有 一 个 内 部 的 网 络 接口 ， 那 就 是 loopback do) 这 个 循环 测试 接口 ! 


0 网 络 形 仿 或 拓 朴 (topology): 各 个 市 点 在 网 络 上 面 的 链接 方式 ， 一 上 般 
讲 的 


是 物理 连接 方式 。 举例 来 说 ， 上 图 中 显示 的 是 一 种 被 称 为 星 形 联机 
(star) 的 


方式 ， 主 要 是 透 过 一 个 中 间 连 接 设 备 ， 以 放射 状 的 方式 连接 各 个 节点 
的 一 种 形 


仿 ， 这 就 古 一 种 拓 村 。 
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D 
网 天 (route) 或 通讯 六 (gateway): 具有 两 个 以 上 的 网 络 接口 ， 可 以 


连接 


两 个 以 上 不 同 的 网 段 的 设备 ， 例 如 卫 分 享 器 就 是 一 个 常见 的 网 关 设 
备 。 那 上 面 


的 ADSL 调制 解 调 亏 算 不 算 网 关 呢 ? 其 实 不 太 能 算 ， 因 为 调制 解 调 右 
通常 视 为 


一 个 在 主机 内 的 网 卡 设 备 ， 我 们 可 以 在 一 般 PC 上 面 透 过 拨号 软件 ， 
将 调制 解 


调 咽 仿真 成 为 一 张 实体 网 卡 (ppp) ， 因 此 他 不 太 能 算是 网 天 设备 啦 ! 


网 络 设备 其 实 非 党 多 也 非常 复 洒 ， 不 过 如 有 果 以 小 型 企业 角度 来 看 ， 我 
们 能 够 了 解 上 


述 图 示 内 各 设备 的 角色 ， 那 应 该 也 足够 哆 ! 接 下 来 ， 让 我 们 继续 来 讨 
论 一 下 网 络 范 围 


的 大 小 吧 


2.1.3 计算 机 网 络 区 域 范 围 


由 于 各 个 节点 的 距离 不 同 ， 联 机 的 线材 与 方式 也 有 所 差异 ， 由 于 线材 
的 差异 也 导致 


网 络 速度 的 不 同 ， 让 网 络 的 应 用 方 癌 也 不 一 样 。 根据 这 些 差 异 ， 早 期 
我 们 习惯 将 网 络 


的 大 小 范围 定义 如 下 : ( 注 6) 
0 局 域 网 络 (Local Area Network, LAN): 


节 反之 间 的 传输 距离 较 近 ， 例 如 一 栋 大 楼 内 ， 或 一 个 学 校 的 校区 内 。 
可 以 使 用 较 


为 昂 贯 的 联机 材料 ， 例如 光纤 或 是 高 质量 网 络 线 (CAT 6) 等 。 网 络 速 


度 以 估 ; 


联机 质量 较 佳 且 可 靠 ， 因 此 可 应 用 于 科学 运算 的 从 集 式 系统 、 分 布 式 


系统 * 云 
问 人 负荷 分 担 系统 等 
0 广域网 (Wide Area Network, WAN): 


传输 距离 较 远 ， 例 如 城市 与 城市 之 间 的 距离 ， 因 此 使 用 的 联机 媒体 需 
要 较为 便宜 


的 设备 ， 例 如 经 和 常 使 用 的 电话 线束 是 一 例 。 由 于 线材 质量 较 差 ， 因 此 
网 络 速度 


较 - 区 且 可 靠 性 较 低 一 些 ， 网 络 应 用 方面 大 多 为 类 似 email, FTP, WWW 


浏览 等 功 
能 。 


除了 这 两 个 之 外 ， 还 有 所 谓 的 都 会 网 络 (Metropolitan Area Network, 
MAN), 不 


过 近来 比较 少 提 及 ， 因 此 你 只 要 知道 有 LAN 及 WAN 即 可 。 这 两 个 名 
词 在 很 多 地 方 你 都 


可 以 看 的 到 喔 ! 改天 你 回 家 看 看 你 家 的 ADSL 调制 解 调 右 或 IP 分 吾 凯 
后 面 的 插 孔 看 看 ， 


你 束 能 够 看 到 有 WAN 与 LAN 的 插 孔 ， 现 在 你 整 知 道 为 噜 有 这 两 个 灯 
号 写 捕 筷 ] 吧 * 


一 般 来 说 ，LAN 指 的 是 区 域 范围 较 小 的 环境 ， 例 如 一 栋 大 楼 或 一 间 学 
校 ， 所 以 在 我 


们 生活 周遭 有 着 许 许多 多 的 LAN 存在 。 那 这 些 LAN 彼此 串 接 在 一 
起 ， 全 部 的 LAN 串 


在 一 块 就 是 一 个 大 型 的 WAN 虽 ! 简单 的 说 ， 就 是 这 样 分 。 

不 过 ， 现 在 的 环境 跟 以 前 不 一 样 了 ， 举 例 来 说 ， 前 几 天 了 刚刚 宣布 
(2011/07)， 光 纤 

的 速度 已 经 可 以 到 达 100Mbps/10Mbps 的 下 载 /上 传 带宽 了 ! 再 举例 来 
说 ， 人 台湾 的 学 术 

网 络 通通 是 串 在 一 块 的 ， 乌 哥 在 台南 昆山 联机 到 高 雄 义 守 大 学 下 载 
CentOS 映像 档 时 ， 


你 猜 下 载 的 速度 有 多 快 ? 每 秒 钟 可 高 达 100Mbps 左右 ! 这 已 经 是 一 个 
内 部 区 网 的 速度 


了 ! 所 以 ， 用 以 前 的 观点 来 看 ， 其 实 对 目前 的 网 络 环境 有 点 不 符 现 象 
了 。 因 此 ， 目 前 
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只 认 或 对 方 相同 隐 展 


只 座 议 对 方 相同 赃 举 


你 可 以 使 用 『 速 度 」 作 为 一 个 网 络 区 域 范 围 的 评 量 。 或 许 现在 我 们 可 
以 说 ， 整 个 台湾 


的 学 术 网 络 (TANET, 注 7) 可 以 视 为 是 一 个 局 域 网 络 呢 ! 
2.1.4 计算 机 网 络 协议 : OSI 七 层 协定 


谈 完 了 网 络 需要 制订 的 标准 、 网 络 联机 的 组 件 以 及 网 络 的 范围 之 后 ， 
接 下 来 殉 是 要 
讲 到 ， 那 么 各 个 市 点 之 间 是 如 何 沟 通讯 尽 的 呢 ? 其 实 殉 是 透 过 标准 的 
通讯 协议 啦 ! 但 


征 ， 整 个 网 络 连 接 的 过 程 相当 复杂 ， 包 丘 和 硬件、 软件 数据 封包 与 应 用 
程序 的 互相 链接 等 


等 ， 如 果 想 要 写 一 支 将 联网 全 部 功能 都 串 连 在 一 块 的 程序 ， 那 么 当 某 
个 小 环节 出 现 问 


题 时 ， 人 整 只 程序 都 需要 改写 啊 ! 真 麻 烦 ， 


那 怎 办 ? 没关系 ， 我 们 可 以 将 整个 网 络 连接 过 程 分 成 数 个 阶层 
(layer)， 每 个 阶层 


都 有 特别 的 独立 的 功能 ， 而 且 每 个 阶层 的 程序 代码 可 以 独立 撰写 ， 
为 每 个 阶层 之 间 


的 功能 并 不 会 互相 干扰 的 。 如 此 一 来 ， 当 某 个 小 环 市 出 现 问题 时 ，5 
要 将 该 层级 的 程 


序 代码 重新 撰写 即 可 。 所 以 程序 撰写 也 容易 ， 整 个 网 络 概 念 也 束 更 清 
晰 ! 那 融 是 目前 


你 常 听 到 的 OSI 七 层 协 议 (Open System Interconnection) 的 概念 嗓 
如 采 以 图 示 来 说 ， 那 么 这 七 个 阶层 的 相关 性 有 点 像 底 下 这 样 : 
2.1-2、OSI 七 层 协 议 各 阶层 的 相关 性 


UU 


a 
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依据 定义 来 说 ， 越 接近 人 硬件 的 阶层 为 底层 (layer 1)， 越 接近 应 用 程序 
的 则 是 高 层 


(layer 7)。 不 论 是 接收 端 还 古 发 送 端 ， 每 个 一 阶层 只 认识 对 方 的 同一 
阶层 数据 。 而 


整个 传送 的 过 程 束 好 像 人 们 在 玩 整 人 游戏 一 般 ， 我 们 透 过 应 用 程序 将 
数据 放 入 第 七 层 的 


包 圳 ， 再 将 第 七 层 的 包 囊 放 到 第 六 层 的 包 囊 内 ， 依 序 一 直 放 到 第 一 层 
的 最 大 的 包 囊 内 ， 


然后 传送 出 去 给 接收 端 。 接 收 端的 主机 束 得 由 第 一 个 包 右 开始 ， 依 序 
将 每 个 包 训 拆 开 ， 


然后 一 个 一 个 交 给 对 应 负责 的 阶层 来 视察 ! 这 就 是 整 人 游戏 ... 喔 ! 是 
OSI 七 层 协 议 在 


阶层 定义 方面 需要 注意 的 特色 。 


既然 说 是 包 圳 ， 那 我 们 都 知道 ， 包 囊 表 面 都 会 有 个 重要 的 信息 ， 这 些 
信息 包括 有 来 


目 哪里 、 有 要 去 哪里 、 接 收 者 是 谁 等 等 ， 而 包 囊 里 面 才 是 真正 的 数据 。 
同样 的 ， 在 七 层 


协议 中 ， 每 层 都 会 有 目 己 独特 的 表 头 数据 (header)， 告 知 对 方 这 里 面 
的 信息 是 什么 ， 而 


真正 的 数据 就 附 在 后 头 咖 ! 我 们 可 以 使 用 如 下 的 图 示 来 表示 这 七 层 每 
= 层 的 和 名字; 以 及 


数据 是 如 何 放置 到 每 一 层 的 包 囊 内 : 
图 2.1-3、OSI 七 层 协议 数据 的 传递 方式 


上 图 中 仔细 看 每 个 数据 报 的 部 分 ， 上 层 的 包 夺 是 放 入 下 层 的 数据 中 ， 
而 数据 前 面 则 


征 这 个 数据 的 表 头 。 其 中 比较 特殊 的 是 第 二 层 ， 因 为 第 二 层 (数据 链 
结 层 ) 主要 是 位 


于 软件 封包 (packet) 以 及 硬件 讯 框 (frame) 中 间 的 一 个 阶层 ， 他 必须 要 
将 软件 包装 


的 包 右 放 入 到 硬件 能 够 处 理 的 包 右 中 ， 因 此 这 个 阶层 又 分 为 两 个 子 层 
在 处 理 相 对 应 的 数 


据 。 因为 比较 特殊 ， 所 以 您 瞧 瞧 ， 第 二 层 的 数据 格式 比较 不 一 样 喔 ， 
尾 闹 还 出 现 一 个 


检查 码 哩 一 


每 一 个 阶层 所 负责 的 任务 是 什么 呢 ? 简单 的 说 ， 每 一 层 负责 的 任务 如 


8, 注 芭 
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由 于 网 络 媒体 只 能 传送 0 与 1 这 种 位 串 ， 因 此 物理 层 必 须 
Layer 1 

定义 所 使 用 的 媒体 设备 之 电压 与 讯号 等 ， 同时 还 必须 了 解数 
物理 层 

据 讯 框 转 成 位 串 的 编码 方式 ， 最 后 连接 实体 媒体 并 传送 /接收 


Physical Layer 
位 串 。 


这 一 层 是 比较 特殊 的 一 个 阶层 ， 因 为 底下 是 实体 的 定义 ， 而 
上 层 则 是 软件 封装 的 定义 。 因 此 第 二 层 又 分 两 个 子 层 在 进行 
数据 的 转换 动作 。 在 偏 硬件 媒体 部 分 ， 主 要 负责 的 是 MAC 
(Media Access Control) ， 我 们 称 这 个 数据 报 庄 为 MAC 讯 

框 (frame)，MAC 是 网 络 媒体 所 能 处 理 的 主要 数据 报 庄 ， 这 
也 是 最 终 被 物理 层 编码 成 位 串 的 数据 。MAC 必须 要 经 由 通讯 


Layer 2 
协议 来 取得 姬 体 的 使 用 权 ， 目前 最 向 使 用 的 则 是 IEEE 
数据 链 结 层 


802.3 的 以 太 网 络 协议 。 详 细 的 MAC 与 以 太 网 络 请 参考 下 市 
Data-Link Layer 说 明 。 

至 于 偏向 软件 的 部 分 则 是 由 逻辑 链接 层 (logical link 
control, LLC) 所 控制 ， 主 要 在 多 任务 处 理 来 自 上 层 的 封包 
数据 (packet) 并 转 成 MAC 的 格式 ， 负责 的 工作 包括 讯息 
交换 、 流 量 控制 、 失 误 问 题 的 处 理 等 等 。 


这 一 层 是 我 们 最 感 兴趣 的 嗓 ， 因 为 我 们 提 及 的 IP (Internet 


Layer 3 
Protocol) 就 是 在 这 一 层 定义 的 。 同时 也 定义 出 计算 机 之 间 
网 络 层 

的 联机 建立 、 终 止 与 维持 等 ， 数 据 封 包 的 传输 路 径 选 择 等 等 ， 


Network Layer 

因此 这 个 层级 当中 最 重要 的 除了 IP 之 外 ， 束 是 封包 能 人 否 到 
达 目 的 地 的 路 由 (route) 概念 了 ! 

这 一 个 分 层 定 义 了 发 送 端 与 接收 端的 联机 技术 (如 TCP UDP 
Layer 4 

技术 )， 同时 包括 该 技术 的 封包 格式 ， 数 据 封包 的 传送 、 流 
传送 层 

程 的 控制 、 传 输 过 程 的 侦 测 检 查 与 复原 重新 传送 等 等 ， 以 确 
Transport Layer 保 各 个 资料 封包 可 以 正确 无 误 的 到 达 目 的 端 。 
在 这 个 层级 当中 主要 定义 了 两 个 地 址 之 间 的 联机 信道 之 连接 
Layer5 

与 挂 断 ， 此 外 ， 永 可 建立 应 用 程序 之 对 谈 、 提 供 其 他 加 强 型 
会 谈 层 


服务 如 网 络 管理 、 签 到 签 退 、 对 谈 之 控制 等 等 。 如 果 说 传送 


Session Layer 

层 是 在 判断 资料 封包 是 否 可 以 正确 的 到 达 目 标 ， 那么 会 谈 层 
则 是 在 确定 网 络 服务 建立 联机 的 确认 。 

我 们 在 应 用 程序 上 面 所 制作 出 来 的 数据 格式 不 一 定 符合 网 络 
传输 的 标准 编码 格式 的 ! 所 以 ， 在 这 个 层级 当中 ， 主 要 的 动 


Layer 6 


作 束 是 : 将 来 目 本 地 端 应 用 程序 的 数据 格式 转换 (或 者 是 重新 
表现 层 
编码 ) 成 为 网 络 的 标准 格式 ， 然后 再 交 给 底下 传送 层 等 的 协 


Presentation Layer 议 来 进行 处 理 。 所 以 ， 在 这 个 层级 上 面 主 要 定义 的 
是 网 络 服 


务 (或 程序 ) 之 间 的 数据 格式 的 转换 ， 包 括 数 据 的 加 解密 也 是 
在 这 个 分 层 上 面 处 理 。 

Layer 7 

应 用 层 本 身 并 不 属于 应 用 程序 所 有 ， 而 是 在 定义 应 用 程序 如 
Y 用 层 

何 进 入 此 层 的 沟通 接口 ， 以 将 数据 接收 或 传送 给 应 用 程序 ， 
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前 料 链 结 层 
实体 层 


Application Layer 最 终 展示 给 用 户 。 


事实 上 ， OSI 七 层 协议 只 是 一 个 参考 的 模型 modeD)， 目 前 的 网 络 社会 
并 没有 什么 很 


知名 的 操作 系统 在 使 用 OSI 七 层 协议 的 联网 程序 代码 。 那 .…. 讲 这 么 多 
王 嘛 ? 这 是 因为 


OSI 所 定义 出 来 的 七 层 协 议 在 解释 网 络 传输 的 情况 来 襄 ， 可 以 解释 的 
非常 棒 ， 因 此 大 


家 都 拿 OSI 七 层 协议 来 做 为 网 络 的 教学 与 概念 的 理解 。 至 于 实际 的 联 
网 程序 代码 ， 那 


就 交 给 TCP/IP 这 个 玩意 儿 吧 1! 
2.1.5 计算 机 网 络 协 议 : ”TCP/IP 


虽然 OSI 七 层 协议 的 架构 非常 严谨 ， 是 学 习 网 络 的 好 材料 。 但 是 也 就 
是 因为 太 过 


严谨 了 ， 因 此 程序 撰写 相当 不 容易 ， 所 以 造成 它 在 发 展 上 面 些 许 的 困 
扰 。 而 由 ARPANET 


发 展 而 来 的 TCP/IP 又 如 何 呢 ? 其实 TCP/IP 也 是 使 用 OSI 七 层 协议 的 
观念 ， 所 以 同 


样 具 有 分 层 的 架构 ， 只 是 将 它 简 化 为 四 层 ， 在 结构 上 面 比较 没有 这 人 么 
严谨， 程序 撰写 会 


比较 容易 些 。 后 来 在 1990 年 代 由 于 email, WWW 的 流行 ， 造 成 
TCP/IP 这 个 标准 为 大 


家 所 接受 ， 这 也 造 束 目前 我 们 的 网 络 社会 喝 ! 


既然 TCP/IP 是 由 OSI 七 层 协 议 人 简化 而 来 ， 那么 这 两 者 之 间 有 没有 什 
么 相关 性 呢 ? 


它们 的 相关 性 可 以 图 示 如 下 ， 同时 这 里 也 列 出 目前 在 这 架构 底下 常见 
的 通讯 协议 、 圭 


包 格 式 与 相关 标准 : 
2.1-4、OSI 与 TCP/ 协议 之 相关 性 


从 上 图 中 ， 我 们 可 以 发 现 TCP/IP 将 应 用 、 表 现 、 会 谈 三 层 整合 成 一 个 
应 用 层 ， 在 

应 用 层 上 面 可 以 实 作 的 程序 协议 有 HTTP SMTP, DNS 等 等 。 传 送 层 
则 没有 变 ， 不 过 依 

据 传 送 的 可 靠 性 又 将 封包 格式 分 为 连接 导向 的 TCP 及 非 连接 导 辐 的 
UDP 封包 格式 。 网 


络 层 也 没有 变 ， 主 要 内 容 是 提供 了 IP 封包 ， 并 可 选择 最 佳 路 由 来 到 达 
目标 了 P 地址 。 
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数据 链 结 层 与 物理 层 则 整合 成 为 一 个 链 结 层 ， 包 括 定义 硬件 讯号 、 读 
框 转 位 串 的 编码 


等 等 ， 因 此 主要 与 硬件 (不 论 是 区 网 还 是 广域网 ) 有 关 。 


那 TCP/P 是 如 何 运作 的 呢 ? 我 们 就 拿 浆 第 党 连 上 的 Yahoo 入 口 网 站 
来 做 个 说 明 


好 了 ， 整 个 联机 的 状态 可 以 这 样 看 : 


1. 应 用 程序 阶段 : 隶 打开 浏 砚 右 ， 在 浏 贤 右 上 面 输入 网 址 列 ， 按 下 
[Enter| ° 


此 时 网 址 列 与 相关 数据 会 被 浏览 硕 包 成 一 个 数据 ， 并 同 下 传 给 TCP/IP 
的 应 用 


局 ; 


应 Ee 妈 : 由 应 用 层 提 供 的 HTTP 通讯 协议 ， 将 来 自 浏览 絮 的 数据 报 
E 来 


给 予 一 个 应 用 层 表 头 ， 表 问 传 送 层 丢 去 ; 


传送 层 : 由 于 HTTP 为 可 靠 联 机 ， 因 此 将 该 数据 丢 入 TCP 封包 内 ， 
并 给 予 


一 个 TCP 封包 的 表 头 ， 疝 网 络 层 丢 去 ; 
4. 网 络 层 : 将 TCP 包 于 包 进 IP 封包 内 ， 再 给 予 一 个 IP 表 头 (主要 就 


生来 
源 与 目标 的 IP 哎 )， 癌 链 结 层 丢 去 ; 


5. 链 结 层 : 如 果 使 用 以 太 网 络 时 ， 此 时 IP 会 依据 CSMA/CD 的 标准 ， 
包 囊 到 


MAC 讯 框 中 ， 并 给 予 MAC 表 头 ， 再 转 成 位 串 后 ， 利用 传输 媒体 传 
送 到 远程 主机 


上 上。 


等 到 Yahoo 收 到 你 的 包 右 后 ， 在 依据 相反 方 同 拆 解 开 来 ， 然 后 交 给 对 
应 的 层级 进 


行 分 析 ， 最 后 就 让 Yahoo 的 WWW 服务 器 软件 得 到 你 所 想 要 的 数据 ， 
该 服务 做 软件 再 根 


据 你 的 要 求 ， 取 得 正确 的 资料 后 ， 又 依循 上 述 的 流程 ， 一 层 一 层 的 包 
装 起 来 ， 最 后 传 


送 到 你 的 手 上 ! 就 是 这 样 嚼 ! 


根据 这 样 的 流程 ， 我 们 束 得 要 知道 每 个 分 层 所 需要 了 解 的 基础 知识 ， 
这 样 才 算 学 习 


网 络 基础 嘛 ! 所 以 底下 我 们 会 依据 TCP/IP 的 链 结 层 、 网 络 层 、 传 送 层 
来 进行 说 明 ， 应 

用 层 的 协议 则 在 后 续 章 节 中 有 对 应 的 协定 再 来 谈 哆 ! 同时 我 们 也 知 
道 ， 网络 媒体 一 次 

传输 的 数据 量 是 有 限 的 ， 因 此 如 有 果 要 被 传输 的 数据 太 大 时 ， 我 们 在 分 
层 的 包装 中 ， 驳 得 

要 将 数据 先 拆 开放 到 不 同 的 包 圳 中 ， 再 给 包 囊 一 个 序号 ， 好 让 目的 端 
的 主机 能 够 厌 由 


这 些 序 与 再 重新 将 数据 整合 回来 ! 很 有 趣 吧 ! 接 下 来 就 让 我 们 一 层 一 
层 来 介绍 哆 ! 


Tips: 

一 般 来 说 ， 因 为 应 用 程序 与 程序 设计 师 比 较 有 关系 ， 而 网 络 层 以 下 
的 数据 则 主要 是 操作 系统 提供 的 ， 因 此 ， 我 们 又 将 TCP/IP 当中 的 
应 用 层 视 为 使 用 者 层 ， 而 底下 的 三 层 才 是 我 们 主要 谈 及 的 网 络 基础 ! 
所 以 这 个 章节 主要 就 是 介绍 这 三 层 啦 

2.2 TCP/IP 的 链 结 层 相 关 协 议 


TCP/IP 最 底层 的 链 结 层 主 要 与 硬件 比较 有 关系 ， 因 此 底下 我 们 主要 介 
绍 一 些 WAN 


与 LAN 的 硬件 。 同 时 会 开始 介绍 那 重 要 的 CSMA/CD 的 以 太 网 络 协 
议 ， 以 及 相关 的 硬 


件 与 MAC 讯 框 格式 等 。 那 束 开 始 来 聊 聊 哎 ! 
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2.2.1 广域网 使 用 的 设备 


在 2.1.3 节 我 们 有 提 到 过 ， 广域网 使 用 的 设备 价格 较为 低廉 。 不 过 广 
域 网 使 用 到 


的 设备 非常 的 多 ， 一 般 用 户 通常 会 接触 到 的 主要 站 ADSL 调制 解 调 右 
或 者 是 光纤 到 大 厦 ， 


以 及 第 四 台 的 Cable 宽 市 等 。 在 这 里 我 们 先 介绍 一 些 比较 第 见 的 设 
备 ， 如 有 果 以 后 你 有 


机 会 接触 到 其 他 设备 ， 再 请 你 依据 需求 自行 查阅 相关 书籍 吧 ! 
0 传统 电话 拨 接 : 透 过 ppp 协议 


早期 网 络 大 概 都 只 能 透 过 调制 解 调 器 加 上 电话 线 以 及 计算 机 的 九 针 串 
行 端口 


(以 前 接 鼠 标 或 游 戏 杆 的 插 孔 )， 然 后 透 过 Point-to-Point Protocol (PPP 
协议 ) 


0 IP 参数 ， 这 样 束 能 够 上 网 了 。 不 过 这 样 的 速 
竖 非 常 慢 ， 


而 且 当 电话 拨 接 后 ， 就 不 能 够 讲 电话 了 ! 因为 PPP 支持 TCP/IP, 
NetBEU], 


IPX/SPX 等 通讯 协议 ， 所 以 使 用 度 非 党 三 ! 


口 整合 服务 数字 网 络 (Integrated Services Digital Network, ISDN) 


也 是 利用 现 有 的 电话 线路 来 达成 网 络 联 机 的 目的 ， 只 是 联机 的 两 端 都 
需要 有 

ISDN 的 调制 解 调 吕 来 提供 正人 功能 ，ISDN 的 传输 有 多 种 通过 可 供 全 
用 ， 并且 


可 以 将 多 个 信道 整合 应 用 ， 因 此 速度 可 以 成 倍 成 长 。 基 本 的 B 信道 速 
度 约 为 


64Kbps， 但 如 美国 规格 使 用 23 个 以 上 的 通道 来 达成 联机 ， 此 时 速度 
可 达 


1.5Mbps 左右 。 不 过 台湾 这 玩意 儿 比 较 少 见 。 
0 非 对 称 数 位 用 路 回路 (Asymmetric Digital Subscriber Line, ADSL): 透 
过 pppoe 协议 


也 征 透 过 电话 线 来 拨 接 后 取得 IP 的 一 个 方法 ， 只 不 过 这 个 方式 使 用 的 
是 电话 的 
高 频 部 分 ， 与 一 般 讲 电话 的 频率 不 同 。 因 此 姓 可 以 一 边 使 用 ADSL 上 
网 同时 透 


过 同一 个 电话 号 码 来 打 电 话 聊天 。 在 台湾 ， 由 于 上 传 /下 载 的 带宽 不 
同 ， 因 此 才 


称 为 非 对 称 的 回路 。ADSL 同样 使 用 调制 解 调 硕 ， 只 十 他 透 过 的 走 
PPPoE (PPP 


Over Ethernet) 的 方法 ! 将 PPP 仿真 在 以 太 网络 卡 上 ， 因 此 你 的 主机 需 


要 透 


过 一 张 网 络 卡 来 连 授 到 调制 解 调 絮 ， 并 和 表 过 拨 接 程序 来 取得 新 的 接口 
(ppp0) 喔 ! 


/ 


0 电缆 调制 解 调 硕 (Cable modem) 


主要 透 过 有 线 电视 (台湾 所 请 的 第 四 台 ) 使 用 的 绕 线 作为 网 络 讯号 媒 
体 ， 同 样 需 


要 具备 调制 解 调 器 来 连接 到 ISP， 以 取得 网 络 参数 来 上 网 。 Cable 


modem 的 市 


宽 主 要 有 是 分 吾 型 的 ， 所 以 通常 具有 区 域 性 ， 并 不 是 你 想 装束 能 靖 的 
哩 ! 


2.2.2 局 域 网 络 使 用 的 设备 -以 太 网 络 
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在 局 域 网 络 的 环境 中 ， 我 们 最 利 使 用 的 就 是 以 太 网 络 。 当 然 啦 ， 在 某 
些 超 高 速 网 络 


应 用 的 环境 中 ， 还 可 能 会 用 到 价格 相当 昂 贯 的 光纤 信道 哩 。 只 是 如 同 
前 面 提 到 的 ， 以 


太 网 络 因为 已 经 标准 化 了 ， 设 备 设置 费用 相对 低廉 ， 所 以 一 般 你 会 听 
到 什么 网 络 线 或 


者 是 网 络 媒体 ， 几 乎 都 是 使 用 以 太 网 络 来 以 设 的 环境 啦 ! 只 是 这 里 还 
征 要 提醒 您 ， 整 


个 网 络 世界 并 非 仅 有 以 太 网 络 这 个 硬件 接口 喔 ! 事实 上 ， 想 了 解 整个 
以 太 网 络 的 发 展 ， 


建议 你 可 以 直接 参考 风 信 子 与 张 民 人 先生 翻译 的 『Switched & Fast 以 
太 网 络 」 一 书 ， 


该 书 内 容 相 当 的 有 趣 ， 挺 适合 阅读 的 呐 。 抵 下 我 们 仅 做 个 简单 的 介绍 
而 已 。 


0 
以 太 网 络 的 速度 与 标准 


以 太 网 络 的 流行 主要 是 它 成 为 国际 公认 的 标准 所 致 。 早先 IEEE 所 制 
订 的 以 太 网 络 


标准 为 802.3 的 IEEE 10BASE5 ， 这 个 标准 主要 的 定义 是 : 『10 代表 
传输 速度 为 


10Mbps，BASE 表示 采用 基 频 信号 来 进行 传输 ， 至 于 5 则 是 指 每 个 网 
络 世 点 之 间 最 长 可 


达 500 公 尺 。J 
由 于 网 络 的 传输 信息 就 是 0 与 1 啊 ， 因 此 ， 数 据 传输 的 单位 为 每 秒 多 


少 bit ， 亦 


即 是 M bits/second, Mbps 的 意思 。 那 么 为 何 制订 成 为 10Mbps 呢 ? 这 
是 因为 早期 的 


网 络 线 压制 的 方法 以 及 相关 的 制作 方法 ， 还 有 以 太 网 络 卡 制作 的 技术 
并 不 是 很 好 ， 加 


上 当时 的 数据 传输 需求 并 没有 像 现 在 这 么 高 ， 所 以 10Mbps 已 经 可 以 
符合 大 多 数 人 的 需 


求 了 3 
Tips: 
我 们 看 到 的 网 络 提供 者 (Internet Services Provider, ISP) 所 宣 


称 他 们 的 ADSL 传输 速度 可 以 达到 下 行 /上 行 2Mbps/128Kbps 


(Kbits per second) 时 ， 那 个 Kb 指 的 可 不 是 bytes 而 是 bits 

喔 ! 所 以 2M/128K 在 实际 的 档案 大 小 传输 速度 上 面 ， 最 大 理论 的 传 
输 为 256KBps/16 KBps(KBytes per second)， 所 以 正常 下 载 的 速度 

约 在 每 秒 100~200 KBytes 之 间 呐 ! 同样 的 道理 ， 在 网 络 卡 或 者 是 
一 些 网 络 媒 体 的 广告 上 面 ， 他 们 都 会 宣称 自己 的 产品 可 以 自动 辨识 
传输 速度 为 10/100 Mbps ( Mega-bits per second)， 呵 呵 ! 该 数 

值 还 是 得 再 除 以 8 才 是 我 们 一 般 常 用 的 档案 容量 计算 的 单位 

bytes 喔 ! 


早期 的 网 络 线 使 用 的 是 旧式 的 同 轴 电 绩 线 ， 这 种 线路 在 现在 几乎 已 经 
看 不 到 了 。 取 而 代 


之 的 是 类 似 传 统 电话 线 的 双 统 线 (Twisted Pair Ethernet) ，IEEE 并 将 这 
种 线路 的 以 


太 网 络 传 输 方 法 制订 成 为 10BASE-T 的 标准 。 10BASE-T 使 用 的 是 10 
Mbps 全 速 运作 


且 采 用 无 遮蔽 式 双 绞 线 (UTP) 的 网 络 线 。 此 外 ，10BASE-T 的 UTP 网 
络 线 可 以 使 用 星 


形 联 机 (star)， 
法 ， 图 2.1-1 


忠 古 星 形 联 机 的 一 个 示意 图 。 


不 同 于 早期 以 一 条 同 轴 电 统 线 链接 所 有 的 计算 机 的 bus 联机 ， 透 过 星 
形 联机 的 帮 


助 ， 我 们 可 以 很 前 单 的 加 闭 其 他 的 设备 或 者 是 移 除 其 他 设备 ， 而 不 会 
受到 其 他 装置 的 
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RJ-45 接 栈 


影响 ， 这 对 网 络 设备 的 扩充 性 与 除 错 来 说 ， 都 是 一 项 相当 棒 的 设计 ! 
也 因此 10BASE-T 


让 以 太 网 络 设备 的 销售 额 大 幅 提升 啊 ! 


后 来 IEEE 更 制订 了 802.3u 这 个 支持 到 100Mbps 传输 速度 的 
100BASE-T 标准 ， 


这 个 标准 与 10BASE-T 差异 不 大 ， 只 是 双 绞 线 线材 制作 需要 更 精良 ， 
同时 也 已 经 支持 


使 用 了 四 对 绞 线 的 网 络 线 了 ， 也 殊 是 目前 很 常见 的 八 蕊 网 络 线 呐 ! 这 
种 网 络 线 我 们 帝 


称 为 等 级 五 (Category 5, CAT5) 的 网 络 线 。 这 种 传输 速度 的 以 太 网 络 
忠 被 称 为 Fast 


ethernet 。 至 于 目前 我 们 常常 听 到 的 Gigabit 网 络 速 度 1000 Mbps 又 是 
什么 呐 ? 那 


就 是 Gigabit ethernet 哩 ! 只 是 Gigabit ethernet 的 网 络 线束 需要 更 加 的 


网 络 线 等 级 
以 太 网 络 (Ethernet) 


10Mbps 


高 速 以 太 网 络 (Fast Ethernet) 
100Mbps 

CAT 5 

超 高 速 以 太 网 络 (Gigabit Ethernet) 
1000Mbps 

CAT 5e/CAT 6 


为 什么 每 当 传输 速度 增加 时 ， 网 络 线 的 要 求 就 更 严格 呢 ? 这 是 因为 当 
传输 速度 增加 时 ， 


线材 的 电磁 效应 相互 干扰 会 增强 ， 因此 在 网 络 线 的 制作 时 就 得 需要 特 
别 注意 线材 的 质 


料 以 及 内 部 线 蕊 心 之 间 的 缠绕 情况 配置 等 ， 以 使 电子 流 之 间 的 电磁 干 
扰 降 到 最 小 ， 才 


能 使 传输 速度 提升 到 应 有 的 Gigabit 。 所 以 说 ， 在 以 太 网 络 世 界 当 
中 ， 如 采 你 想 要 所 


升 原 有 的 fast ethernet 到 gigabit ethernet 的 话 ， 除了 网 络 卡 需 要 升级 之 
2 


机 与 主机 之 间 的 网 络 线 ， 以 及 连接 主机 线路 的 集线器 /交换 器 等 ， 都 必 
须要 提升 到 可 以 


支持 gigabit 速度 等 级 的 设备 才 行 喔 ! 
0 
以 太 网 络 的 网 络 线 接头 ( 跳 线 /并 行 线 ) 


前 面 提 到 ， 网 络 的 速度 与 线材 是 有 一 定 程 度 的 相关 性 的 ， 那 么 线材 的 
接头 又 是 怎样 


呢 ? 目前 在 以 太 网 络 上 最 常见 到 的 接头 束 是 RJ-45 的 网 络 接头 ， 共 有 
八 稚 的 接头 ， 有 


点 像 是 胖 了 的 电话 线 接头 ， 如 下 所 示 : 


2.2-1、RJ-45 接头 示意 图 
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0 


而 RJ-45 接头 义 因 为 每 条 和 营 线 的 对 应 不 同 而 分 为 568A 与 568B 接头 ， 
这 两 款 接 


头 内 的 蕊 线 对 应 如 下 表 : 
接头 名 称 \ 沁 线 顺序 

1 

2 


3 


7 


8 

568A 

日 绿绿 日 栖 监 日 监 栓 日 标 标 
568B 


日 楼 栖 日 绿 蓝 日 赣 绿 日 标 标 


事实 上 ， 虽 然 目 前 的 以 太 网 络 线 有 八 营 且 两 两 成 对 ， 但 实际 使 用 的 只 
有 1,2,3,6 蕊 而 


己 ， 其 他 的 则 是 茶 些 特殊 用 途 的 场合 才 会 使 用 到 。 但 由 于 主机 与 主机 
的 联机 以 及 主机 


与 集线器 的 联机 时 ， 所 使 用 的 网 络 线 脚 位 定义 并 不 相同 ， 因 此 由 于 接 
头 的 不 同 网 络 线 


又 可 分 为 两 种 : 


0D 跳 线 : 一边 为 568A 一 边 为 568B 的 接头 时 称 为 跳 线 ， 用 在 直接 链接 
两 部 主 


机 的 网 络 卡 。 


0 并 行 线 : 两 边 接头 同 为 568A 或 同 为 568B 时 称 为 并 行 线 ， 用 在 链接 
主机 网 


络 卡 与 集线器 之 间 的 线材 ; 
2.2.3 以 太 网 络 的 传输 协议 : CSMA/CD 


整个 以 太 网 络 的 重心 束 是 以 太 网 络 卡 啦 ! 所 以 说 ， 以 太 网 络 的 传输 主 
要 束 是 网 络 卡 


对 网 络 卡 之 间 的 数据 传递 而 已 。 每 张 以 太 网络 卡 出 厂 时 ， 束 会 赋予 一 
个 独一无二 的 卡 


号 ， 那 就 是 所 谓 的 MAC (Media Access Control) 啦 ! 理论 上 上， 网卡 卡 
号 是 不 能 修改 


的 ， 不 过 某 些 笔记 本 电脑 的 网 卡 卡号 是 能 够 修改 的 哆 ! 那么 以 太 网 络 
的 网 卡 之 间 数 据 


是 如 何 传输 的 呢 ? 那 就 得 要 谈 一 下 IEEE 802.3 的 标准 CSMA/CD 
(Carrier Sense 


Multiple Access with Collision Detection) 了 ! 我 们 以 下 图 来 作为 简介 ， 
下 图 内 的 


中 心 点 为 集 线 右 ， 各 个 主机 都 是 联机 到 集 线 右 ， 然 后 透 过 集 线 融 的 功 
能 辣 所 有 主机 发 


起 联机 的 。 
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2.2-2、CSMA/CD 联机 示意 图 ， 由 A 发 送 资料 给 D 时 ， 注 意 箭头 方 
口 

集 线 带 是 一 种 网 络 共享 媒体 ， 什 么 古 网 络 共享 媒体 啊 ? 想象 一 下 上 述 
的 环境 束 像 一 


个 十 字 路 口 ， 而 集 线 帮 就 是 那 个 路 口 ! 这 个 路 口 一 次 只 允许 一 辆 车 通 
过 ， 如 采 两 辆 车 


同时 使 用 这 个 路 口 ， 那 么 就 会 发 生 碰撞 的 车 饥 事 件 啊 ! 那 束 是 所 请 的 
共 至 媒体 。 也 束 


苹 说 ， 网 络 共 至 媒体 在 单一 时 间 点 内 ， 仪 能 锌 一 部 主机 所 使 用 。 


理解 了 共 至 媒体 的 意义 后 ， 青 来， 我们 束 得 要 讨论 ， 那 么 以 太 网 络 的 
网 卡 之 间 是 如 


何 传输 的 呢 ? 我 们 以 上 图 中 的 A 要 发 给 DD 网 卡 为 例 好 了 ， 人 徐 单 的 说 ， 
CSMA/CD 搭配 


上 述 的 环境 ， 它 的 传输 情况 需要 有 以 下 的 流程 : 


1. 监听 媒体 使 用 情况 (Carrier Sense): A 主机 要 发 送 网 络 封包 前 ， 需 要 
先 对 


网 络 媒体 进行 监听 ， 确 认 没 有 人 在 使 用 后 ， 才 能 够 发 送出 讯 框 ; 
2. 多 点 传输 (Multiple Access): A 主机 所 送出 的 数据 会 被 集 线 硕 复制 一 


A 也 就 是 说 ，A 所 送出 的 数 
和 居 ， B, C， 


D 三 部 计算 机 都 能 够 接收 的 到 ! 但 由 于 目标 是 D 主机 ， 因 此 也 与 C 会 
将 此 讯 


框 数据 丢弃 ， 而 D 则 会 抓 下 来 处 理 ; 


3. 万 接 侦 测 (Collision Detectiom): 该 讯 框 数据 附 有 检测 能 力 ， 若 其 他 
主机 


例如 B 计算 机 也 刚好 在 同时 间 发 送 讯 框 数据 时 ， 那 么 A 与 B 送出 的 
数据 碰 接 


在 一 块 (出 车 祸 ) ， 此 时 这 些 讯 框 束 是 损 驱 ， 那 么 A 与 B 束 会 各 目 随 


机 等 行 一 

个 时 间 ， 然后 重新 透 过 第 一 步 再 传送 一 次 该 讯 框 数 据 。 

了 解 这 个 程序 很 重要 吗 ? 我 们 吏 来 谈 谈 ; 
en 


透 过 上 述 的 流程 我 们 会 知道 ， 不 管 哪 一 部 主机 发 送出 讯 框 ， 所 有 的 计 
算 机 都 会 接 


0 
一 部 主机 


在 对 外 联机 ， 但 是 在 集线器 上 面 的 所 有 计算 机 灯 号 就 都 会 内 个 不 集 ! 
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D 我 的 计算 机 明明 没有 被 入 侵 ， 为 何 我 的 数据 会 被 隔壁 的 计算 机 条 
取 : 


透 过 上 述 的 流程 ， 我 们 只 要 在 B 计算 机 上 面 安装 一 套 监听 软件 ， 这 和 套 
软件 将 原 


本 要 丢弃 的 讯 框 数 据 捉 下 来 分 析 ， 并 且 加 以 重组 ， 就 能 够 知道 原本 A 
所 送出 的 


讯 电 了 “。 这 也 是 为 什么 我 们 都 建议 重要 数据 在 因特网 上 面 得 要 『 加 
密 J 后 再 传输 ! 


0 既然 共 至 媒体 只 有 一 个 主机 可 以 使 用 ， 为 何 大 家 可 以 同时 上 网 : 


这 个 问题 就 有 趣 了 ， 有 既然 共享 媒体 一 次 只 能 被 一 个 主机 所 使 用 ， 那 么 
万 一 我 传输 

100MB 的 档案 ， 集 线 絮 束 得 被 我 使 用 80 秒 (以 10Mbps 传输 时 )， 在 这 
期 间 其 


他 人 都 不 可 以 使 用 吗 ? 不 是 的 ， 由 于 标准 的 讯 框 数据 在 网 络 卡 与 其 他 
以 太 网 络 媒 


体 一 次 只 能 传输 1500bytes， 因 此 我 的 100MB 档案 就 得 要 拆 成 多 个 小 
数据 报 ， 


然后 一 个 一 个 的 传送 ， 每 个 数据 报 传送 前 都 要 经 过 CSMA/CD 的 机 
制 。 所 以 ， 这 


个 集线器 的 使 用 权 是 大 家 抢 着 用 的 ! 即使 只 有 一 部 主机 在 使 用 网 络 媒 
体 时 ， 那 么 


这 部 主机 在 发 送 每 个 封包 间 ， 也 都 是 需要 等 待 一段 时 间 的 (96 bit 


time) ! 
0 讯 框 要 多 大 比较 好 ? 能 不 能 修改 讯 框 ? : 


如 上 所 述 ， 那 么 讯 框 的 大 小 能 不 能 改变 呢 ? 因为 如 果 讯 框 的 容量 能 够 
增 大 ， 那 么 


小 数据 报 的 数量 整 会 减少 ， 那 每 个 讯 框 传送 间 的 等 得 束 可 以 减少 了 | 


征 这 样 没 


错 ， 但 是 以 太 网 络 标准 讯 框 确实 定义 在 1500 bytes， 但 近来 的 超 高 速 
以 太 网 络 


文 持 Jumbo frame (巨型 讯 框 , 注 10) 的 话 ， 那 么 就 能 够 将 讯 框 大 
小 改 为 


9000bytes 哩 ! 但 不 是 很 建议 大 家 随便 修改 啦 ! 为 什么 呢 2? 2.2.5 MTU 
那 小 鳌 笛 


说 。 
2.2.4 MAC 的 封装 格式 


上 面 提 到 的 CSMA/CD 传送 出 去 的 讯 杠 数据， 其 实 就 是 MAC 啦 ! 
MAC 其 实 就 是 我 们 


上 面 一 直 讲 到 的 讯 框 (frame) 哆 ! 只 是 这 个 讯 框 上面 有 两 个 很 重要 的 
数据 ， 束 是 目标 


与 来 源 的 网 卡 卡号 ， 因 此 我 们 又 简称 网 卡 卡 号 为 MAC 而 已 。 简单 的 
说 ， 你 可 以 把 MAC 


想 成 是 一 个 在 网 络 线 上 面 传递 的 包 圳 ， 而 这 个 包 囊 是 整个 网 络 硬 件 上 
面 传送 数据 的 最 小 


单位 了 。 也 就 是 说 ， 网 络 线 可 想 成 是 一 条 『 一 次 仅 可 通过 一 个 人 J 的 
独木桥 ， 而 MAC 


束 古 在 这 个 独木桥 上 面 动 的 人 啦 ! 接 下 来 ， 来 看 一 看 MAC 这 个 讯 框 
的 内 容 吧 ! 


2.2-3、 以 太 网 络 的 MAC 讯 框 


上 图 中 的 目的 地 址 与 来 源 地 址 指 的 就 是 网 卡 卡 号 (hardware address, 硬 
件 地 址 )， 


我 们 前 面 提 到 ， 每 一 张 网 卡 都 有 一 个 独一无二 的 卡号 ， 那 个 卡号 的 目 
的 下 在 这 个 讯 框 


的 表 头 数据 使 用 到 啦 ! 硬件 地 址 最 小 由 00:00:00:00:00:00 到 
FF:FF:FF:FF:FF:FF 


(16 进位 法 )， 这 6 bytes 当中 ， 前 3bytes 为 厂商 的 代码 ， 后 3bytes 则 
是 该 厂商 


目 行 设 定 的 痛 置 码 了 。 
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MAC-l MAC-2 MAC-3 MAC-4 


在 En 当中 ， 你 可 以 使 用 ifconfig 这 个 指令 来 查阅 你 的 网 络 卡 卡号 
喔 ! 特别 


注意 ， 在 这 个 MAC 的 传送 中 ， 他 仅 在 局 域 网 络 内 生效 ， 如 采 跨 过 不 
同 的 网 域 (这 个 后 


面 P 的 部 分 时 会 介绍 )， 那 么 来 源 与 目的 的 硬件 地 址 就 会 跟着 改变 
了 。 这 是 因为 变 成 


不 同 网 络 卡 之 间 的 交流 了 嘛 ! 所 以 卡号 当然 不 同 了 ! 如 下 所 示 : 
2.2-4、 同 一 讯 框 在 不 同 网 域 的 主机 间 传 送 时 ， 讯 框 的 表 头 变化 


例如 上 面 的 图 标 ， 我 的 数据 要 由 计算 机 A 通过 也 后 才 送 达 C ， 而 也 
计算 机 有 两 


块 网 络 卡 ， 其 中 MAC-2 与 A 计算 机 的 MAC-1 互通 ， 至 于 MAC-3 则 
与 C 计算 机 的 


MAC-4 互通 。 但 是 MAC-1 不 能 与 MAC-3 与 MAC-4 互通 ， 为 啥 ? 
为 MAC-1 这 块 网 络 


卡 并 没有 与 MAC-3 及 MAC-4 使 用 同样 的 switch/hub 相 接 嘛 ! 所 以 ， 


数据 的 流通 会 变 
成 : 


1. 先 由 MAC-1 传送 到 MAC-2 ， 此 时 来 源 是 MAC-1 而 目的 地 是 
MAC-2; 


2.B 计算 机 接收 后 ， 察 看 该 讯 杠 ， 发 现 日 标 其 实 是 C 计算 机 ， 而 为 了 
I 


算 机 沟通 ， 所 以 他 会 将 讯 框 内 的 来 源 MAC 改 为 MAC-3 ， 而 目的 改 
为 MAC-4 ， 


如 此 瓯 可 以 直接 传送 到 C 计算 机 了 。 


也 就 是 说 ， 只 要 透 过 B (就 是 路 由 器 ) 才 将 封包 送 到 另 一 个 网 域 IP 部 
分 会 讲 ) 


去 的 时 候 ， 那 么 讯 框 内 的 硬件 地 址 融会 被 改变 ， 然 后 才能 够 在 同一 个 
网 域 里 面 直 接 进 


行 讯 框 的 流通 啊 ! 


Tips: 

由 于 网 络 卡 卡号 是 跟着 网 络 卡 走 的 ， 并 不 会 因为 重 灌 操 作 系 统 而 改 
变 ， 所 以 防火 墙 软件 大 多 也 能 够 针对 网 络 卡 来 进行 抵挡 的 工作 喔 ! 
不 过 抵挡 网 卡 仅 能 在 局 域 网 络 内 进行 而 已 ， 因 为 MAC 不 能 跨 


router 嘛 ! ! 
吕 为 什么 资料 量 最 小 要 46 最 大 为 1500 bytes 呢 ? 


讯 框 内 的 数据 内 容 最 大 可 达 1500bytes 这 我 们 现在 知道 了 ， 那 为 何 要 
规范 最 小 


数据 为 46bytes 呢 ? 这 是 由 于 CSMA/CD 机 制 所 算出 来 的 ! 在 这 个 机 
制 上 面 可 


算出 知 要 侦 测 碰撞 ， 则 讯 框 总 数据 量 最 小 得 要 有 64bytes ， 那 再 扣除 
目的 地 址 、 


来 源 地 址 、 检 查 码 (前 导 码 不 算 ) 后 ， 束 可 得 到 数据 量 最 小 得 要 有 
46bytes 了 ! 


也 就 是 说 ， 如 果 丸 要 传输 的 数据 小 于 46byes ， 那 我 们 的 系统 会 主动 的 
填 上 一 些 


填充 码 ， 以 补 齐 至 少 46bytes 的 容量 才 行 ! 
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2.2.5 MTU 最 大 传输 单位 


通过 上 面 MAC 封 逆 的 定义 ， 现 在 我 们 知道 标准 以 太 网 络 讯 框 所 能 传 
送 的 数据 量 最 


大 可 以 到 达 1500 bytes ， 这 个 数值 束 被 我 们 称 为 MTU (Maximum 
Transmission Unit, 


最 大 传输 单位 )。 你 得 要 注意 的 是 ， 每 种 网 络 接口 的 MTU 都 不 相同 ， 
因此 有 的 时 候 在 


某 些 网 络 文章 上 面 你 会 看 到 1492 bytes 的 MTU 等 等 。 不 过 ， 在 以 太 
网 络 上 ， 标 准 的 


定义 就 是 1500 bytes 。 


在 行 会 儿 会 介绍 到 的 卫 封包 中 ， 这 个 卫 封包 最 大 可 以 到 65535 
bytes， 比 MTU 


还 要 大 呢 ! 既然 礼物 (IP) 都 比 盒子 (MAC) 大 ， 那 怎么 可 能 放 的 进去 
啊 ? 所 以 哆 ，1IP 


封包 是 可 以 进行 拆 解 的 ， 然 后 才能 放 到 MAC 当中 啊 ! 等 到 数据 都 传 
到 目的 地 ， 再 由 目 


的 地 的 主机 将 他 组 狠 回 来 号 是 了 。 所 以 哆 ， 如 果 MTU 能 够 大 一 些 的 
话 ， 那 么 IP 封包 


的 拆 解 情况 就 会 降低 ， 封包 与 封包 传送 之 间 的 等 待 时 间 (前 一 小 节 提 
到 的 96 bit time) 


会 减少 ， 束 能 够 增加 网 络 带宽 的 使 用 哎 ! 


为 了 这 个 目的 ， 所 以 Gigabit 的 以 太 网 络 媒体 才 有 文 持 Jumbo frame 的 
嘛 ! 这 个 


Jumbo frame 一 般 都 定义 到 9000bytes。 那 你 会 说 ， 既 然 如 此 ， 我 们 的 
MTU 能 不 能 改 


成 9000bytes 呢 ? 这 样 一 来 不 惑 能 够 减少 数据 封包 的 拆 解 ， 以 增加 网 
络 使 用 率 吗 ? 是 


这 样 没 错 ， 而 且 ， 你 也 确实 可 以 在 Linux 系统 上 更 改 MTU 的 ! 但 
征 ， 如 有 果 考 虑 到 整个 


网 络 ， 那 么 我 们 不 建议 你 修改 这 个 数值 。 为 什么 呢 ? 


我 们 的 封包 总 是 需要 在 Internet 上 面 跑 吧 ? 你 无 法 确认 所 有 的 网 络 媒 
体 都 是 文 


持 那 么 大 的 MTU 对 吧 ! 如 果 你 的 9000 bytes 封包 通过 一 个 不 支持 


Jumbo frame 的 


网 络 媒体 时 ， 好 一 点 的 是 该 网 络 媒 体 (例如 switch/router 等 ) 会 主动 的 
帮 你 重组 而 


进行 传送 ， 关 一 点 的 可 能 就 直接 回报 这 个 封包 无 效 而 丢 痉 了 一 这 个 时 
候 可 整 焰 大 哎 ~~ 


所 以 ，MTU 设 定 为 9000 这 种 事情 ， 大 概 仅 能 在 内 部 网 络 的 环境 中 作 
一 举例 来 说 ， 很 


多 的 内 部 丛 集 系 统 (cluster) 束 将 他 们 的 内 部 网 络 环境 MTU 设 定 为 
9000， 但 是 对 外 


的 适 配 卡 可 还 是 原本 的 标准 1500 喔 ! 和 人 


也 就 是 说 ， 不 论 你 的 网 络 媒 体 文 持 MTU 到 多 大 ， 你 必须 要 考虑 到 你 
的 封包 需要 传 


到 目的 地 时 ， 所 需要 经 过 的 所 有 网 络 媒体 ， 然 后 再 来 决定 你 的 MTU 
设 定 才 行 。 束 因为 


这 样 ， 我 们 才 不 建议 你 修改 标准 以 太 网 络 的 MTU 嘛 ! 


Tips: 

早期 某 些 网 络 媒体 (例如 卫 分 享 器 ) 支持 的 是 802.2, 802.3 标 

准 所 组 合成 的 MAC 封装 ， 它 的 MTU 就 是 1492 ， 而 且 这 些 设 备 可 
能 不 会 进行 封包 重组 ， 因 此 早期 网 络 上 面 常常 有 朋友 问 说 ， 他 们 连 
上 某 些 网 站 时 ， 总 是 会 联机 逾 时 而 断 线 。 但 透 过 修改 客户 端的 MTU 


成 为 1492 之 后 ， 上 网 束 没 有 问题 了 。 原 因 是 什么 呢 ? 读 完 上 头 的 
数据 ， 您 应 该 能 理解 了 吧 ? ^^ 
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0 


2.2.6 集 线 右 、 交 换 絮 与 相关 机 制 
0 共 不 共 至 很 重要 ， 集 线 器 还 是 交换 絮 ? ( 注 11) 


刚刚 我 们 上 面 提 到 了 ， 当 一 个 很 已 碌 的 网 络 在 运作 时 ， 集 线 囊 (hub) 
这 个 网 络 


共 至 媒体 就 可 能 会 发 生 碰撞 的 情况 ， 这 是 因为 CSMA/CD 的 缘故 。 那 
有 没有 办 法 


避免 这 种 莫名其妙 的 封包 碰撞 情况 呢 ? 有 的 ， 那 瑟 使 用 非 共 至 媒体 的 
交换 右 即 可 


啊 ! 


交换 器 (Switch) 等 级 非常 多 ， 我 们 这 里 仅 探 讨 文 持 OSI 第 二 层 的 交换 
右 。 交 


换 占 与 集 线 髓 最 大 的 差异 ， 在 于 交换 紫 内 有 一 个 特别 的 内 存 ， 这 个 内 
存 可 以 记 


录 每 个 switch port 与 其 连接 的 PC 的 MAC 地址 ， 所 以 ， 当 来 自 switch 
两 端 


的 PC 要 互 传 数据 时 ， 每 个 讯 框 将 直接 透 过 交换 右 的 内 存 数 据 而 传送 
到 目标 主机 


上 ! 所 以 switch 不 是 共享 媒体 ， 且 switch 的 每 个 埋 口 (port) 都 具有 独 


举例 来 说 ，10/100 的 Hub 上 链接 5 部 主机 ， 那 么 整个 10/100Mbps 是 
分 给 这 


五 部 主机 的 ， 所 以 这 五 部 主机 总 共 只 能 使 用 10/100Mbps 而 已 。 那 如 
果 是 


switch 呢 ? 由 于 『 每 个 port 都 具有 10/100Mbps 的 带宽 4 ， 所 以 就 看 
你 当时 


的 传输 行为 是 如 何 嘿 ! 举例 来 说 ， 如 果 是 底下 的 状况 时 ， 每 个 联机 都 
是 10/100 


Mbps 的 。 
2.2-5、 交 换 器 每 个 埋 口 的 带宽 使 用 示意 图 


A 传 送 到 D 与 B 传送 到 C 都 独 目 拥有 10/100Mbps 的 之 宽 ， 两 边 并 不 
会 互相 


影响 ! 不 过 ， 如 采 是 A 与 D 都 传 给 C 时 ， 由 于 C port 就 仅 有 
10/100Mbps ， 
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等 于 A 与 D 都 需要 抢 C 节点 的 10/100Mbps 来 用 的 意思 。 总 之 ， 你 就 
上 4 日 
十 储 


记得 的 是 ，switch 已 经 克服 了 封包 倍 撞 的 问题 ， 因 为 他 有 个 switch 
port 对 应 


MAC 的 相关 功能 ， 所 以 switch 并 非 共享 媒体 喔 ! 同时 需要 记得 的 
征 ， 现 在 的 


switch 规格 很 多 ， 在 选 购 的 时 候 ， 千 万 记得 选 购 可 以 文 持 全 双 工 / 半 双 
2 以 


及 支持 Jumbo frame 的 为 佳 ! 


0 什么 是 全 双 工 / 半 双 工 (full-duplex, half-duplex) 


前 面谈 到 网 络 线 时 ， 我 们 知道 八 贰 的 网 络 线 实 际 上 仅 有 两 对 被 使 用 ， 
一 对 是 用 在 


传送 ， 男 一 对 则 是 在 接收 。 如 采 两 端的 PC 同时 支持 全 双 工 时 ， 那 表 
人 小 


Input/Output 均 可 达到 10/100Mbps， 亦 即 数据 的 传送 与 接收 同时 均 可 


达到 


10/100bps 的 意思 ， 总 带宽 则 可 达到 20/200Mbps 哎 (其 实 是 有 点 语 病 
的 ， 因 为 


Input 可 达 10/100Mbps， output 可 达 10/100Mbps ， 而 不 是 Input 可 直 
接 


达到 20/200Mbps 喔 ! ) 如 果 你 的 网 络 环境 想 要 达到 全 双 工 时 ， 使 用 共 
享 媒体 的 


Hub 是 不 可 能 的 ， 因 为 网 络 线 脚 位 的 关系 ， 无 法 使 用 共享 媒体 来 达到 
全 双 工 的 ! 


如 果 你 的 switch 也 支持 全 双 工 模式 ， 那 么 在 switch 两 端的 PC 才能 
到 全 双 


工 喔 ! 
D 自动 协调 速度 机 制 (auto-negotiation): 


我 们 都 知道 现在 的 以 太 网 络 卡 是 可 以 同 下 文 持 的 ， 亦 即 是 Gigabit 网 络 
卡 可 以 

与 早期 的 10/100Mbps 网 络 卡 链接 而 不 会 发 生 问 题 。 但 是 ， 此 时 的 网 
络 速度 是 起 


样 判 定 呢 ? 早期 的 switch/hub 必须 要 手动 切换 速度 才 行 ， 新 的 


hub/switch 


因为 有 文 持 auto-negotiation 叉 称 为 N-Way 的 功能 ， 他 可 目 动 的 苏 调 出 


取出 


的 传输 速度 来 沟通 喔 ! 如 果 有 Gigabit 与 10/100Mbps 在 switch 上 面 ， 
则 


N-Way 会 先 使 用 最 高 的 速度 (gigabit) 测试 是 否 能 够 全 部 支持 ， 如 果 不 
行 的 话 ， 


就 降 速 到 下 一 个 等 级 亦 即 100 Mbps 的 速度 来 运作 的 ! 
自动 分 辨 网 络 线 跳 线 或 并 行 线 (Auto MDL/MDIX): 
那么 我 们 是 否 需要 自行 分 辨 并 行 线 与 跳 线 呢 ? 不 需要 啦 ! 因为 switch 


看 含有 


auto MDI/MDIX 的 功能 时 ， 会 目 动 分 辨 网 络 线 的 脚 位 来 调整 联机 的 ， 
所 以 你 整 


不 需要 管 你 的 网 络 线 和 是 跳 线 还 是 并 行 线 咖 ! 方便 吧 ! 和 人 人 
0 讯号 有 惨 减 造成 的 问题 


由 于 电子 讯号 是 会 衰减 的 ， 所 以 当 网 络 线 过 长 导致 电子 讯号 衰减 的 情 
况 挛 重 时 ， 


束 会 导致 联机 质量 的 不 民 了 。 因 此 ， 链 接 各 个 世上 点 的 网 络 线 长 度 是 有 
限制 的 喔 ! 


不 过 ， 一 般 来 说 ， 现 今 的 以 太 网 络 CAT5 等 级 的 网 络 线 大 概 都 可 以 支 
持 到 100 公 


尺 的 长 度 ， 所 以 应 该 无 庸 担 心 才 是 呐 ! 


但 是 ， 造 成 讯号 有 惨 减 的 情况 并 非 仅 有 网 络 线 长 度 而 已 ! 如 有 果 你 的 网 络 
线 折 得 太 严 


党 被 门板 压 ， 导 致 变形 ) ， 或 者 是 目 行 压制 网 络 线 接 
头 ， 但 是 
接头 部 分 的 八 蕊 入 线 缠绕 度 不 足 导致 电磁 干扰 庆 重 ， 或 者 钙 网 络 线 放 
在 户外 风 


0 
yi 三 二 1 
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滩 房 机 覆 内 的 
配 禄 和 禄 


此 时 常常 就 会 发 现 偶而 可 以 联机 、 有 时 却 又 无 法 联机 的 问题 了 ! 因 
此 ， 当 你 需要 


针对 企业 内 部 来 架设 整体 的 网 络 时 ， 注意 结构 化 布线 可 是 很 重要 的 
喔 ! 


0 结构 化 布线 


所 谓 的 结构 化 布线 指 的 是 将 各 个 网 络 的 组 件 分 别 拆 开 ， 分 别 安 阔 与 布 
置 到 企业 内 


部 ， 则 未 来 想 要 提升 网 络 硬件 等 级 或 者 是 移动 某 些 网 络 设备 时 ， 只 需 
要 更 动 类 


似 配 线 盘 的 机 相处， 以 及 末端 的 墙 上 预 留 扎 与 主机 设备 的 联机 束 能 够 
达到 目的 


了 。 例 如 底下 的 图 示 : 
图 2.2-6、 结 构 化 布线 简易 图 标 


在 墙 内 的 布线 需要 很 注意 ， 因 为 可 能 一 布线 完成 后 束 使 用 5-10 年 以 上 
喔 ! 那 你 


需要 注意 的 仅 有 末端 增 上 的 预 留 孔 以 及 配 线 端 部 分 。 事实 上 ， 光 是 结 
构 化 布线 


所 需要 选择 的 网 络 媒 体 与 网 络 线 的 等 级 ， 还 有 机 杷 、 机 架 ， 以 及 美化 
与 隐藏 网 络 


ee 
件 、 施 工 


所 需要 注意 的 标准 规范 等 等 ， 已 经 可 以 写 满 厚 厚 一 本 书 ， 而 鸟 哥 这 里 
的 文章 旨 


在 介绍 一 个 中 小 企业 内 部 主机 数量 较 少 的 环境 ， 所 以 仅 提 到 最 简单 的 
以 一 个 或 


两 个 交换 句 (swtich) 串 接 所 有 网 络 设备 的 小 型 星 形 联机 状态 而 已 。 


如 果 你 有 需要 相关 硬件 结构 化 布线 的 信息 ， 可 以 参考 风 信 子 兄 翻译 的 
TSwtich 


and Fast 以 太 网络 4 一 书 的 后 半 段 ! 至 于 网 络 上 的 高 手 吗 ? 你 可 以 前 
往 酷 学 园 


请 教 ZMAN (http://http://wordpress.morezman.conmy) 大 哥 喔 ! 


2.3 TCP/IP 的 网 络 层 相关 封包 与 数据 


我 们 现在 知道 要 有 网 络 的 话 ， 必 须要 有 网 络 相 关 的 硬件， 而 目前 最 第 
见 的 网 络 硬件 


接口 为 以 太 网 络 ， 包 括 网 络 线 、 网 络 卡 、Hub/Switch 等 等 。 而 以 太 网 
络 上 面 的 传输 使 


用 网 络 卡 卡号 为 基准 的 MAC 讯 框 ， 配合 CSMA/CD 的 标准 来 传送 读 
框 ， 这 就 是 硬件 部 分 。 


在 软件 部 分 ， 我 们 知道 Internet 其 实 束 是 TCP/IP 这 个 通讯 协议 的 通 
称 ，Internet 是 
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由 InterNIC( 注 12) 所 统一 管理 的 ， 但 其 实 他 仅 是 负责 分 配 Internet 上 
面 的 IP 以 


及 提供 相关 的 TCP/IP 技术 文件 而 已 。 不 过 Internet 最 重要 的 就 是 IP 
啊 ! 所 以 ， 这 


个 小 节 就 让 我 们 来 讲 讲 网 络 层 的 卫 与 路 由 吧 
2.3.1 IP 封包 的 封装 


目前 因特网 社会 的 卫 有 两 种 版 本 ， 一 种 是 目前 使 用 最 广泛 的 IPv4 


(Internet 


Protocol version 4, 因特网 协定 第 四 版 )， 一 种 则 是 预期 未 来 会 热门 的 
IPv6 ° IPv4 


记录 的 地 址 由 于 仅 有 32 位 ， 预 计 在 2020 年 前 后 就 会 分 发 完毕 ， 如 此 
一 来 ， 新 兴国 


家 或 者 是 新 的 网 络 公司 ， 将 没有 网 络 可 以 使 用 。 为 了 避免 这 个 问题 发 
生 ， 因 此 就 有 IPv6 


的 产生 。IPv6 的 地 址 可 以 达到 128 位 ， 可 以 多 出 2 的 96 次 方 倍 的 网 
址 数量 ， 这 样 


的 卫 数量 几乎 用 不 完 啦 ! 虽然 IPv6 具有 前 脆性 ， 但 目前 主流 媒体 大 
多 还 旦 使 用 


IPv4 ， 因 此 本 文 主要 谈 到 的 卫 都 指 IPv4 而 言 喔 ! ( 注 13) 


我 们 在 前 一 小 节 谈 到 MAC 的 封装 ， 那 么 一 封包 的 封装 也 得 要 来 了 解 
一 下 , 才能 


知道 IP 到 底 是 如 何 产 生 的 啊 ! IP 封包 可 以 达到 65535 bytes 这 么 大 ， 
在 比 MAC 大 


的 情况 下 ， 我 们 的 操作 系统 会 对 IP 进行 拆 解 的 动作 。 至 于 卫 封装 的 
表 头 资料 绘制 如 


下 : (下 图 第 一 行为 每 个 字段 的 bit 数 ) 
3 

4bits 4 bits 

8 bits 

13 bits 

bits 

Type of 

Version IHL 

Total Length 

Service 


Identification 


Flags Fragmentation Offset 
Time Io Live 

Protocol 

Header Checksum 

Source Address 

Destination Address 

Options 

Padding 

Data 

图 2.3-1、IP 封包 的 表 头 资料 


人 个 地 方 要 注意 ， 那 束 是 『 每 一 行 所 占用 的 位 数 为 32 
bitsJ ， 


个 表 头 的 内 容 分 别 介 绍 如 下 : 
D Version( 版 本 ) 


告 这 个 IP 封包 的 版 本 ， 例 如 目前 惯用 的 还 是 IPv4 这 个 版 本 就 在 这 
里 宣告 ° 
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DIHL(Internet Header Length, IP 表 头 的 长 度 ) 


告知 这 个 IP 封包 的 表 头 长 度 ， 使 用 的 单位 应 该 是 字 组 (word) ,一 
字 组 为 


4bytes 大 小 喔 。 


D Type of Service( 服 务 类 型 ) 


这 个 项 目的 内 容 为 『PPPDTRUUJ ， 表 示 这 个 IP 封包 的 服务 类 型 ， 主 
要 分 为 : 


PPP: 表示 此 卫 封 包 的 优先 度 ， 目 前 很 少 使 用 ; 
D: 若 为 0 表示 一 般 延 迟 (delay)， 若 为 1 表示 为 低 延 迟 ; 


T: 阁 为 0 表示 为 一 般 传输 量 (throughput)， 若 为 1 表示 为 高 传输 量 ; 


R: 者 为 0 表示 为 一 般 可 靠 度 (reliability)， 大 为 1 表示 高 可 靠 度 
UU: 保留 尚未 被 使 用 。 
举例 来 说 ，gigabit 以 太 网 络 的 种 种 相关 规格 可 以 让 这 个 IP 封包 加 速 且 


降低 延 
人 迟 ， 某 些 特殊 的 标志 就 是 在 这 里 说 明 的 。 
0 Total Length( 总 长 度 ) 


指 这 个 IP 封包 的 总 容量 ， 包 括 表 头 与 内 容 (Data) 部 分 。 最 大 可 达 
65535 


bytes。 
D Identification( 辨 别 码 ) 


我 们 前 面 提 到 IP 袋子 必须 要 放 在 MAC 袋子 当中 。 不 过 ， 如 果 卫 汰 
子 太 大 的 


i 
IP 被 重 


组 时 ， 每 个 来 目 同一 个 IP 的 小 袋子 束 得 要 有 个 标识 符 以 告知 接收 端 这 
些小 袋子 


其 实 是 来 自 同一 个 卫 封包 才 行 。 也 就 是 说 ， 假 如 IP 封包 
65536 那么 


大 (前 一 个 Total Length 有 规定 )， 那 么 这 个 IP 束 得 要 再 被 分 成 更 小 的 
IP 


2 进 MAC 讯 框 中 。 那 么 每 个 小 IP 分 段 是 否 来 自 同一 个 IP 
资料 ， 


呵呵 ! 那 就 是 这 个 标识 符 的 功用 啦 | 

0 Flags( 特 殊 旗 标 ) 

这 个 地 方 的 内 容 为 『ODMJ ， 其 意义 为 : 

D: 若 为 0 表示 可 以 分 段 ， 若 为 1 表示 不 可 分 段 

M: 若 为 0 表示 此 IP 为 最 后 分 段 ， 若 为 1 表示 非 最 后 分 段 。 
D Fragment Offset( 分 段 偏 移 ) 


表示 目前 这 个 IP 分 段 在 原始 的 IP 封包 中 所 占 的 位 置 。 就 有 点 像 古 序 
号 啦 ， 有 


这 个 序号 才能 将 所 有 的 小 卫 分 段 组 合成 为 原本 的 卫 封包 大 小 嘛 ! 透 
过 Total 


Length, Identification, Flags 以 及 这 个 Fragment Offset 束 能 够 将 小 IP 

分 段 在 收受 剖 组 合 起 来 史 ! 

0 Time To Live(TTL, 存活 时 间 ) 

表示 这 个 P 封包 的 存活 时 间 ， 范 围 为 0-255。 当 这 个 人 P 圭 包 通过 一 个 


时 ，TTL 就 会 减 一 ， 当 TTL 为 0 时 ， 这 个 封包 将 会 被 直接 丢弃 。 说 
实在 的 ， 


要 让 IP 封包 通过 255 个 路 由 器， 还 挺 难 的 一 人 人 
0 Protocol Number( 协 定 代码 ) 


来 目 传 输 层 与 网 络 层 本 身 的 其 他 数据 都 是 放置 在 IP 封包 当中 的 ， 我 们 
可 以 在 
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IP 表 头 记载 这 个 IP 封包 内 的 数据 是 啥 ， 在 这 个 字段 就 是 记载 每 种 数 
据 封 包 的 


内 容 啦 ! 在 这 个 字段 记载 的 代码 与 相关 的 封包 协议 名 称 如 下 所 示 : 
IP 内 的 号 码 

封包 协议 名 称 (全 名 ) 

1 

ICMP (Internet Control Message Protocol) 

2 

IGMP (Internet Group Management Protocol) 
3 

GGP (Gateway-to-Gateway Protoco]) 

4 

IP (IP in IP encapsulation) 

6 


TCP (Iransmission Control Protocol) 


8 

EGP (Exterior Gateway Protoco]) 

17 

UDP (User Datagram Protocoj) 

0 当然 啦 ， 我 们 比较 常见 到 的 还 十 那 个 TCP, UDP, ICMP 说 ! 
0 Header Checksum( 表 头 检 查 码 ) 

用 来 检查 这 个 IP 表 头 的 错误 检验 之 用 。 

[| Source Address 

还 用 讲 吗 ? 当然 是 来 源 的 IP 地 址 ， 从 这 里 我 们 也 知道 下 是 32 位 喔 ! 
[ Destination Address 

有 来 源 还 需要 有 目标 才能 传送 ， 这 里 束 是 目标 的 IP 地址 。 
0 Options (其 他 参数 ) 


这 个 是 额外 的 功能 ， 提 供 包括 安全 处 理 机 制 、 路 由 纪录 、 时 间 堆 、 严 
格 与 宽松 之 


来 源 路 由 等 。 
0D Padding( 补 齐 项 目 ) 
由 于 Options 的 内 容 不 一 定 有 多 大 ， 但 是 我 们 知道 IP 每 个 数据 都 必须 


要 是 32 


bits， 所 以 ， 大 Options 的 数据 不 足 32 bits 时 ， 则 由 padding 主动 补 
齐 。 


你 只 要 知道 IP 表 头 里 面 含 有 : ”TTL, Protocol, 来 源 地 址 与 目标 地 址 也 
就 够 了 ! 


而 这 个 IP 表 头 的 来 源 与 目标 IP ， 以 及 那个 判断 通过 多 少 路 由 器 的 
TTL ， 就 能 了 解 


到 这 个 IP 将 被 如 何 传 送 到 目的 端 呐 。 后 续 各 小 太 我 们 将 介绍 IP 的 组 
成 与 范围 ， 还 有 


IP 封包 如 何 传 送 的 机 制 (路 由 ) 等 等 。 
2.3.2 IP 地 址 的 组 成 与 分 级 


现在 我 们 知道 IP (Internet Protocol) 其 实 是 一 种 网 络 封 包 ， 而 这 个 封包 
的 表 头 


最 重要 的 就 古 那 个 32 位 的 来 源 与 目标 地 址 ! 为 了 方便 记忆 ， 所 以 我 
们 也 称 这 个 32 
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bits 的 数值 为 IP 网 络 地 址 就 是 了 。 因 为 网 络 钙 人 类 发 明 的 ， 所 以 很 多 
概念 与 邮 务 系 


统 类 似 ! 那 这 个 IP 其 实 就 类 似 所 谓 的 『 门 牌号 码 J 啦 ! 那么 这 个 IP 
有 哪些 重要 的 


地 方 需要 了 解 的 呢 ? 的 下 我 们 束 来 谈 一 谈 吧 ! 


既然 IP 的 组 成 是 32 bits 的 数值 ， 也 束 是 由 32 个 0 与 1 组 成 的 一 连 串 
| 


那么 当 我 们 思考 所 有 跟 IP 有 关 的 参数 时 ， 你 就 应 该 要 将 该 参数 想 成 是 
32 位 的 数据 喔 ! 


不 过 ， 因 为 人 类 对 于 二 进 制 实在 是 不 怎么 熟悉 ， 所 以 为 了 顺应 人 们 对 
于 十 进 制 的 依赖 性 ， 


因此 ， 束 将 32 bits 的 卫 分 成 四 小 段 ， 每 段 舍 有 8 个 bits ， 将 8 个 bits 
采油 


成 为 十 进 制 ， 并 且 每 一 段 中 间 以 小 数 点 隔 开 ， 那 殉 成 了 目前 大 家 所 数 
悉 的 卫 的 书写 模 


样 了 。 如 下 所 示 : 

IP 的 表示 式 : 

00000000.00000000.00000000.00000000 ==> 0.0.0.0 
11111111.11111111.11111111.11111111 ==> 255.255.255.255 


所 以 IP 最 小 可 以 由 0.0.0.0 一 直到 255.255.255.255 哩 ! 但 在 这 一 串 数 
字 中 ， 其 实 


还 可 以 分 为 两 个 部 分 喔 ! 主要 分 为 Net_ID (网 域 号 码 ) 与 Host_ID ( 主 
机 号 码 ) 两 部 


份 。 我 们 先 以 192.168.0.0 ~ 192.168.0.255 这 个 Class C 的 网 域 当 作 例 
子 来 说 明 好 


| 

192.168.0.0~192.168.0.255 这 个 Class C 的 说 明 : 
11000000.10101000.00000000.00000000 
11000000.10101000.00000000.11111111 


|---------- Net_ID--------- |-host--| 


在 上 面 的 范例 当中 ， 前 面 三 组 数字 (192.168.0) 就 是 网 域 号 码 ， 最 后 面 
一 组 数字 则 称 


为 主机 号 码 。 至 于 同一 个 网 域 的 定义 是 『 在 同一 个 物理 网 段 内 ， 主 机 
的 IP 具有 相同 


的 Net ID ， 并 且 具 有 独特 的 Host ID4 ， 和 那么 这 些 IP 群 就 是 同一 个 
网 域内 的 IP 网 


段 啦 ! 


Tips: 

什么 是 物理 网 段 呢 ? 当 所 有 的 主机 都 是 使 用 同一 个 网 络 媒体 串 在 一 
起 ， 这 个 时 候 这 些 主机 在 实体 装置 上 面 其 实 是 联机 在 一 起 的 ， 那 么 
就 可 以 称 为 这 些 主机 在 同一 个 物理 网 段 内 了 ! 同时 并 请 注意 ， 同 一 
个 物理 网 段 之 内 ， 

可 以 依据 不 同 的 也 的 设 定 ， 

而 设 定 成 多 个 

TIP 网 

段 4 喔 ! 


上 面 例子 当中 的 192.168.0.0, 192.168.0.1, 192.168.0.2, ..….., 192.168.0.255 
( 共 


256 个 ) 这 些 IP 就 是 同一 个 网 域内 的 IP 群 (同一 个 网 域 也 称 为 同一 个 网 
段 ! )， 请 注 


意 ， 同 一 个 Net_ID 内 ， 不 能 具有 相同 的 Host_ ID ， 否 则 就 会 发 生 IP 
冲突 ， 可 能 会 


造成 两 部 主机 都 没有 办 法 使 用 网 络 的 问题 ! 
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IP 在 同一 网 域 的 意义 


那么 同一 个 网 域 该 怎么 设 定 ， 与 将 IP 设 定 在 同一 个 网 域 之 内 有 什么 好 
处 呢 ? 


Net_ID 与 Host_ID 的 限制 : 


在 同一 个 网 段 内 ，Net_ID 是 不 变 的 ， 而 Host_ID 则 是 不 可 重复 ， 此 
外 ， Host ID 


在 二 进 制 的 表示 法 当中 ， 不 可 同时 为 0 也 不 可 同时 为 1 ， 因 为 全 为 0 
表示 整 


个 网 段 的 地 址 (Network IP)， 而 全 为 1 则 表示 为 广播 的 地 址 (Broadcast 
IP) 。 


例如 上 面 的 例子 当中 ，192.168.0.0 (Host_ID 全 部 为 0) 以 及 
192.168.0.255 


(Host_ID 全 部 为 1) 不 可 用 来 作为 网 段 内 主机 的 IP 设 定 ， 也 融 是 说 ， 


这 个 网 
段 内 可 用 来 设 定 主 机 的 IP 是 由 192.168.0.1 到 192.168.0.254; 
在 区 网 内 透 过 了 广播 传递 数据 


IP 范围 (不 可 重复 )， 则 这 些 
放 孝 


可 以 透 过 CSMA/CD 的 功能 直接 在 区 网 内 用 广播 进行 网 络 的 联机 ， 亦 
即 可 以 直接 


网 卡 对 网 卡 传递 数据 ( 透 过 MAC 讯 框 ); 
0 设 定 不 同 区 网 在 同 物理 网 段 的 情况 


在 同一 个 物理 网 段 之 内 ， 如 采 两 部 主机 设 定 成 不 同 的 卫 网 段 ， 则 由 于 
广播 地 址 


的 不 同 ， 导 致 无 法 透 过 广播 的 方式 来 进行 联机 。 此 时 得 要 透 过 路 由 器 


(router) 
来 进行 沟通 才能 将 两 个 网 域 连结 在 一 起 。 
0 网 域 的 大 小 


当 Host_ID 所 占用 的 位 越 大 ， 亦 即 Host_ID 数量 越 多 时 ， 表 示 同 一 个 
网 域内 可 


用 以 设 定 主 机 的 IP 数量 越 多 。 


所 以 说 ， 喧 单位 公司 内 的 计算 机 群 ， 或 者 是 你 宿舍 或 家 里 面 的 所 有 计 
算 机 ， 当 然 都 


设 定 在 同一 个 网 域内 是 最 方便 的 ， 因 为 如 此 一 来 每 一 部 计算 机 都 可 以 
直接 透 过 MAC 来 


进行 数据 的 交流 ， 而 不 必 经 由 Router (路 由 器 ) 来 进行 封包 的 转 递 呢 ! 


(Ronuter 这 音 


分 在 第 八 章 才 会 提 及 ) 。 
人 p 与 门牌 号 码 的 联想 


刚 接触 到 IP 组 成 的 朋友 都 很 困扰 ， 又 分 蛤 网 域 号 码 与 主机 号 码 ， 烦 死 
了 ! 其 实 ， 


你 不 用 烦恼 啊 ! 使 用 门牌 豆 码 的 概念 来 想 即 可 。 既然 卫 是 门牌 ， 那 
拿 我 们 昆山 科技 


大 学 的 门牌 来 说 好 了 ， 我 们 的 门牌 是 : 【台南 市 永康 区 大 湾 路 949 
号 」， 假设 整个 大 


湾 路 是 同一 个 车 弄 ， 那 么 我 们 这 个 门牌 的 网 域 号 码 『 台 南 市 永康 区 大 
湾 路 而 我 的 主机 


号 码 就 是 『 949 号 上 」， 那么 整 条 大 湾 路 上 面 只 要 是 开头 为 『 人 台南 市 永 
康 区 大 湾 路 」 的， 


就 是 跟 我 们 同一 个 网 域 嗓 ! 当然 啦 ， 门 牌号 码 不 可 能 有 第 二 个 949 号 
啊 ! 这 样 理 解 否 ? 
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另外 ，Host_ID 全 为 0 与 全 为 1 (二 进 制 的 概念 ) 时 ， 代 表 整 条 埠 子 的 
第 一 个 与 


最 后 一 个 门牌 ， 而 第 一 个 门牌 我 们 让 他 代表 整 条 巷子 ， 所 以 又 称 为 
Network IP， 就 是 


巷子 口 那个 XXX 埠 的 立 牌 啦 ! 至 于 最 后 一 个 IP ， 则 代表 巷子 尾 ， 式 
即 本 条 营 子 的 最 


后 一 个 门牌 ， 那 丈 是 我 们 在 巷子 内 广播 时 的 最 后 一 个 卫 ， 又 称 为 
Broadcast IP 的 


虽 。 
在 我 们 这 个 巷子 内 ， 我 们 可 以 透 过 大 声 公 用 广播 的 方式 跟 大 家 沟通 讯 
思 ， 例 如 前 几 


年 很 热门 的 张 君 雅 小 妹妹 的 钨 面 广告 ， 在 巷子 内 透 过 广播 告诉 张 君 雅 
小 妹妹 ， 你 阿 嫌 


将 泡 面 名 好 了 ， 赶 快 回 家 吃 面 去 ! 那 如 采 不 十 张 君 雅 小 妹妹 呢 ? 殊 将 
该 讯 轧 略 过 啊 ! 这 


样 有 没有 联想 到 CSMA/CD 的 概念 呢 ? 


那 如 琳 你 的 数据 不 古 要 给 本 苍 子 内 的 门牌 呢 ? 此 时 你 束 得 要 将 资料 拿 
给 巷子 内 的 


邮局 (路 由 器 )， 由 邮局 帮 你 传送 ， 你 只 要 知道 共 子 内 的 那 间 邮局 在 哪 
里 即 可 ， 其 他 的 


忠 让 邮局 目 己 帮 你 把 信件 传 出 去 即 可 啊 ! 这 束 是 整个 区 网 与 门牌 对 应 
的 想法 ! 这 样 有 


没有 比较 清晰 啊 ? 
IP 的 分 级 


你 应 该 要 想到 一 个 问题 ， 那 就 是 我 的 总 门牌 【人 台南 市 永康 区 大 湾 路 
949 号 」 中 ， 


到 哪里 是 巷子 而 到 哪里 是 门牌 ? 如 有 果 到 『 人 台南 市 4 征 埠 子 ， 那 么 我 的 
门牌 将 有 好 多 乡 


持 的 组 成 ， 如 有 条 巷子 号 码 到 『 人 台南 市 永康 区 4 时， 那么 我 们 的 门牌 丈 
XT 


说 ， 这 个 『 阁 子 J 的 大 小 ， 将 会 影响 到 我 们 主机 和 号码 的 数量 1! 


为 了 解决 这 个 问题 ， 以 及 为 了 IP 管理 与 发 放 注 册 的 方便 性 ，InterNIC 
将 整个 IP 


网 段 分 为 五 种 等 级 ， 每 种 等 级 的 范围 主要 与 IP 那 32 bits 数值 的 前 面 
儿 个 位 有 关 ， 


基本 定义 如 下 : 


以 二 进 制 说 明 Network 第 一 个 数字 的 定义 : 


Class A : 0XXXXXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX ==> NetL_D 的 开头 是 


10 


110 


Class D : 1110XXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX ==> Netl_D 的 开头 是 
1110 

Class E : 1111XXXX.XXXXXXXX.XXXXXXXX.XXXXXXXX ==> Netl_D 的 开头 是 
1111 

五 种 分 级 在 十 进 制 的 表示 : 
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避 

Class A : 0.XX.XX.XX ~ 127.XX.XX.XX 

Class B : 128.XX.XX.XX ~ 191.XX.XX.XX 

Class C : 192.XX.XX.XX ~ 223.XX.XX.XX 


Class D : 224.XX.XX.XX ~ 239.XX.XX.XX 


Class E : 240.XX.XX.XX ~ 2D5.XX.XX.XX 


根据 上 表 的 说 明 ， 我 们 可 以 知道 ， 你 只 要 知道 IP 的 第 一 个 十 进 制 数 ， 
忠 能 够 约略 了 解 


到 该 IP 属于 哪 一 个 等 级 ， 以 及 同 网 域 IP 数量 有 多 少 。 这 也 是 为 啥 我 
们 皇 闪 迹 了 


192.168.0.0 这 一 IP 网 段 来 说 明 时 ， 会 将 巷子 定义 到 第 三 个 数字 之 故 。 
丰 过 ， 再 表 


中 你 只 要 记忆 三 种 等 级 ， 亦 即 是 Class A, B,C 即 可 ， 因 为 ClassD 是 
用 来 作为 群 播 


(multicast) 的 特殊 功能 之 用 (最 常用 在 大 批 计算 机 的 网 络 还 原 )， 至 于 
Class 王 则 是 


保留 没有 使 用 的 网 段 。 因此 ， 能 够 用 来 设 定 在 一 般 系 统 上 面 的 ， 就 只 
有 Class A, B,C 


三 种 等 级 的 卫 吧 |! 
2.3.3 IP 的 种 类 与 取得 方式 


接 下 来 要 跟 大 家 谈 一 谈 也 是 很 容易 造成 大 家 困扰 的 一 个 部 分 ， 那 就 是 
IP 的 种 类 ! 


很 多 朋友 常常 听 到 什么 『 真 实 IP, 实体 IP, 虚拟 卫 假 的 了 .4 烦 都 烦 
死 了 一 其 


实 不 要 太 紧 张 啦 ! 实际 上 ， 在 IPv4 里 面 就 只 有 两 种 卫 的 类 别 ， 分 别 
是 : 


0D Public IP : 公共 IP ， 经 由 INTERNIC 所 统一 规划 的 IP， 有 这 种 IP 才 
可 以 连 上 Internet ; 
DPrivate IP : 私有 IP 或 保留 IP， 不 能 直接 连 上 Internet 的 也 ， 主 


要 用 于 局 域 网 络 内 的 主机 联机 规划 。 


早 在 IPv4 规划 的 时 候 整 担心 IP 会 有 不 足 的 情况 ， 而 且 为 了 应 付 某 些 
企业 内 部 的 


网 络 设 定 ， 于 是 就 有 了 私有 IP (Private IP) 的 产生 了 。 私 有 卫 也 分 别 
在 A,B, C 三 


个 Class 当中 各 保留 一 段 作 为 私有 IP 网 段 ， 那 就 是 : 


DL Class A: 10.0.0.0 - 10.255.255.255 


LD Class B: 172.16.0.0 - 172.31.255.255 
LD Class C: 192.168.0.0 - 192.168.255.255 


由 于 这 三 段 Class 的 IP 是 预 留 使 用 的 ， 所 以 并 不 能 直接 作为 Internet 
上 面 的 


连接 之 用 ， 不 然 的 话 ， 到 处 就 都 有 相同 的 全 喝 ! 那 怎么 行 ! 网 络 岂 不 
混乱 ? 所 以 喝 ， 


这 三 个 IP 网 段 束 只 做 为 内 部 私有 网 域 的 IP 沟通 之 用 。 简 单 的 说 ， 他 
有 底下 的 几 个 限 


制 : 
0 私有 IP 的 路 由 信息 不 能 对 外 散播 (只 能 存在 内 部 网 络 ); 
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口 使 用 私有 IP 作为 来 源 或 目的 地 址 的 封包 ， 不 能 透 过 Intemmet 来 转送 
(不 


然 网 络 会 混乱 ); 


人 
原理 


啤 ) 


这 个 私有 IP 有 什么 好 处 呢 ? 由 于 他 的 私有 路 由 不 能 对 外 直接 提供 信 
恩 ， 所 以 ， 你 


的 内 部 网 络 将 不 会 直接 被 Internet 上 面 的 Cracker 所 攻击 ! 但 是 ， 你 也 
就 无 法 以 私 


有 了 JIP 来 【直接 上 网 4 嗓 ! 因此 相当 适合 一 些 尚未 具有 Public IP 的 企 
业内 部 用 来 规 


划 其 网 络 之 设 定 ! 否则 当 你 随便 指定 一 些 可 能 是 Public IP 的 网 段 来 规 
划 你 企业 内 部 


的 网 络 设 定时 ， 万 一 哪 一 天 真 的 连 上 Internet 了 ， 那 么 总 不 是 可 能 会 


造成 跟 Internet 
上 面 的 Public IP 相同 了 吗 ? 


此 外 ， 在 没有 可 用 的 公开 网 络 情况 下 ， 如 果 你 想 要 跟 同学 玩 联 机 游戏 
怎 办 ? 也 就 是 


说 ， 在 区 网 内 自己 玩 自己 的 联机 游戏 ， 此 时 你 只 要 规范 好 所 有 同学 在 
同一 段 私 有 卫 网 


段 中 ， 束 能 够 顺利 的 玩 你 的 网 络 啦 ! 殉 这 么 简单 呢 ! 


那么 万 一 你 又 要 将 这 些 私 有 IP 送 上 Internet 呢 ? 这 个 简单， 设 定 一 个 
简单 的 防 

火 墙 加 上 NAT (Network Address Transfer) 服务 ， 你 就 可 以 透 过 IP 伪装 
(不 要 急 ) 


这 个 在 后 面 也 会 提 到 ) 来 使 你 的 私有 IP 的 计算 机 也 可 以 连 上 Internet 
鹃 | 


0 


特殊 的 loopback IP 网 段 


好 了 ， 那么 除了 这 个 预 留 的 卫 网 段 的 问题 之 外 ， 还 有 没有 什么 其 他 的 
怪 东 西 呢 ? 


当然 是 有 了 啦 ! 不 然 乌 哥 干 嘱 花 时 间 来 嘱 XX 呢 ? 没 错 ， 还 有 一 个 奇怪 
的 Class A 的 网 


域 ， 那 就 是 lo 这 个 奇怪 的 网 域 啦 (注意 : 是 小 写 的 o 而 不 是 零 喔 )! 这 
个 lo 的 网 络 


征 当 初 被 用 来 作为 测试 操作 系统 内 部 循环 所 用 的 一 个 网 域 ， 同 时 也 能 
够 提供 给 系统 内 部 


原本 就 需要 使 用 网 络 接口 的 服务 (daemon) 所 使 用 。 


简单 的 说 ， 如 果 你 没有 安装 网 络 卡 在 的 机 器 上 面 ， 但 是 你 又 希望 可 以 
测试 一 下 在 


你 的 机 絮 上 面 设 定 的 服务 器 环境 到 属 可 不 可 以 顺利 运作 ， 这 个 时 候 怎 
么 办 ， 照 咖 ! 束 


是 利用 这 个 所 谓 的 内 部 循环 网 络 啦 ! 这 个 网 段 在 127.0.0.0/8 这 个 Class 
A， 而 且 默 


认 的 主机 docalhosb 的 卫 是 127.0.0.1 哟 ! 所 以 史 ， 当 你 局 动 了 你 的 
WWW 服务 


右 ， 然 后 在 你 的 主机 的 X-Window 上 面 执 行 http://localhost 就 可 以 直接 
看 到 你 的 主 


页 哆 ! 而 且 不 需要 安装 网 络 卡 呢 ! 测试 很 方便 吧 1 
此 外 ， 你 的 内 部 使 用 的 mail 怎么 运送 邮件 呢 ? 例如 你 的 主机 系统 如 何 


mail 给 


root 这 个 人 呢 ? 嘿嘿 ! 也 就 是 使 用 这 一 个 内 部 循环 啦 ! 当 要 测试 你 的 
TCP/IP 封包 与 


状态 是 否 正 利 时 ， 可 以 使 用 这 个 哆 ! (所 以 哪 一 天 有 人 问 你 嘿 ! 你 的 主 
机 上 面 没有 网 络 


卡 ， 那 么 你 可 以 测试 你 的 WWW 服务 器 设 定 是 否 正 确 吗 ? 这 个 时 候 
可 得 回答 : 当然 可 以 


喝 ! 使 用 127.0.0.1 这 个 Address 呀 ! 入 和) 
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名 
0 
IP 的 取得 方式 


谈 完 了 IP 的 种 类 与 等 级 还 有 相关 的 子 域 概念 后 ， 接 下 来 我 们 得 来 了 解 
> 让 于 公 


主机 的 IP 是 如 何 设 定 的 呢 ? 基本 上 ， 主 机 的 卫 与 相关 网 域 的 设 定 方 
式 二 要 有 : 


0 直接 手动 设 定 (static): 你 可 以 直接 回 你 的 网 管 询 问 可 用 的 IP 相关 参 
数 ， 

然后 直接 编辑 配置 文件 (或 使 用 某 些 软件 功能 ) 来 设 定 你 的 网 络 。 管 见 
于 校园 

网 络 的 环境 中 ， 以 及 向 ISP 申请 固定 卫 的 联机 环境 ; 


i 
I| ISP ， 


你 的 ISP 会 透 过 他 们 自己 的 设 定 ， 让 你 的 操作 系统 取得 正确 的 网 络 参 
数 。 此 时 


你 并 不 需要 手动 去 编辑 与 设 定 相关 的 网 络 参数 啦 。 目 前 台湾 的 ADSL 
拨 接 、 光 纤 


到 大 楼 、 交 纤 到 府 等 ， 大 部 分 都 是 使 用 拨 接 的 方式 。 为 因应 用 户 的 需 
求 ， 某 些 ISP 


也 提供 很 多 不 同 的 卫 分 配 机 制 。 包 括 hinet, seednet 等 等 都 有 提供 
ADSL 找 


接 后 取得 固定 IP 的 方式 喔 ! 详情 请 向 你 的 ISP 洽 询 。 


D] 自动 取得 网 络 参数 (DHCP)， 在 局 域 网 络 内 会 有 一 部 主机 负责 管理 
所 有 计算 


机 的 网 络 参数 ， 你 的 网 络 启动 时 就 会 主动 向 该 服务 器 要 求 IP 参数 ， 
大 取得 网 


络 相关 参数 后 ， 你 的 主机 融 能 够 目 行 设 定好 所 有 服务 器 给 你 的 网 络 参 
数 了 。 最 凋 


使 用 于 企业 内 部 、IP 分 皇 大 后 疹 、 校 园 网 络 与 笨 售 环境 ， 及 缆 线 宽 市 
等 联机 方 


二 
不 管 是 使 用 上 面 哪 种 方式 取得 的 IP ， 你 的 IP 都 只 有 所 谓 的 『 Public 
与 


Private IP 4 而 已 ! 而 其 他 什么 浮动 式 、 固 定制 、 动 态 式 等 等 有 的 没有 
的 ， 就 只 是 告 


诉 你 IP 取得 的 方式 而 已 。 举 例 来 说 ， 台 湾 地 区 ADSL 拨 接 后 取得 
的 IP 通常 是 


public IP, 但 是 乌 哥 曾 接 到 香港 网 友 的 来 信 ， 他 们 ADSL 拨 接 后 ， 取 
得 的 IP 是 


Private ， 所 以 导致 无 法 架设 网 站 喔 ! 


2.3.4 Netmask, 子 网 与 CIDR (Classless Interdomain Routing ) 


我 们 前 面谈 到 IP 是 有 等 级 的 ， 而 设 定 在 一 般 计 算 机 系统 上 面 的 则 是 
Class A, B, 


C。 现 在 我 们 来 想 一 想 ， 如 采 我 们 设 定 一 个 区 网 ， 使 用 的 是 Class A 
， 那 么 我 们 很 容 


易 束 会 想到 ， 哪 有 这 么 多 计算 机 可 以 设 定 在 同一 个 Class A 的 区 段 内 


(256x256x256-2=16777214) ? 而 且 ， 假 设 真有 这 么 多 计算 机 好 了 ， 回 
想 一 下 CSMA/CD 


吧 ， 你 的 网 络 八 介 会 一 直 非 常 俘 顿 ， 因 为 隶 得 要 接 到 一 千 多 万 台 计 算 
机 对 你 的 广播 .… 


光 是 想到 一 千 多 万 台 的 广播 ， 你 的 网 络 还 能 使 用 吗 ? 真 没 效率 


此 外 ， 分 为 Class 的 IP 等 级 ， 是 为 了 管理 方面 的 考虑 ， 事 实 上 ， 我 们 
不 可 能 将 


一 个 Class A 仅 划 定 为 一 个 区 网 。 举 例 来 说 ， 我们 昆山 取得 的 Public 


IP 是 120.xxx 
net.giang(@hotmail.com 


开头 的 ， 但 是 其 实 我 们 只 有 120.114.xxx.xxx 而 已 ， 并 没有 取得 整个 
ClassA 喔 ! 


为 我 们 学 校 也 用 不 了 这 么 多 嘛 ! 这 个 时 候 ， 我 们 束 得 要 理解 一 下 哆 ， 
承 是 ， 怎 么 将 Class 


A 的 网 段 变 小 ? 换 句 话说 ， 我 们 如 何 将 网 域 切 的 更 细 呢 ?这 样 不 整 可 
以 分 出 更 多 段 的 


区 网 给 大 家 设 定 了 ? 


前 面 我 们 提 到 IP 这 个 32 位 的 数值 中 分 为 网 域 号 码 与 主机 号 码 ， 其 中 
Class C 


的 网 域 号 码 占 了 24 位 ， 而 其 实 我 们 还 可 以 将 这 样 的 网 域 切 的 更 细 ， 欢 


是 让 第 一 个 


Host_ID 被 拿 来 作为 Net ID ， 所 以 ， 整 个 Net_ID 就 有 25 bits ， 至 于 
Host_ID 则 


减少 为 7 bits。 在 这 样 的 情况 下 ， 原 来 的 一 个 Class C 的 网 域 就 可 以 被 
切 分 为 两 个 


子 域 ， 而 每 个 子 域 就 有 『 256/2 - 2 = 126 4 个 可 用 的 IP 了 ! 这 样 一 
来 ， 就 能 够 将 


原本 的 一 个 网 域 切 为 两 个 较 细 小 的 网 域 ， 方 便 分 门 别 类 的 设计 喔 。 
吕 
Netmask, 或 称 为 Subnet mask ( 子 网 掩 码 ) 


那 到 撒 是 什么 参数 来 达成 子 网 的 切 分 呢 ? 那 区 是 Netmask (了 于 网 掩 码 ) 
的 用 途 啦 ! 


这 个 Netmask 是 用 来 定义 出 网 域 的 最 重要 的 一 个 参数 了 ! 不 过 他 也 最 
难 理解 了 ~~@_@。 


为 了 帮助 大 家 比较 容易 记忆 住 Netmask 的 设 定 依据 ， 底 下 我 们 介绍 一 
个 比较 容易 记忆 


的 方法 。 同 样 以 192.168.0.0 ~ 192.168.0.255 这 个 网 域 为 范例 好 了 ， 如 
下 所 示 ， 这 


个 IP 网 段 可 以 分 为 Net_ID 与 Host ID， 有 既然 Net_ID 是 不 可 变 的 ， 那 
就 假设 他 所 占 


据 的 bits 已 经 被 用 光 了 (全 部 为 1)， 而 Host_ID 是 可 变 的 ， 束 将 他 想 
成 是 你 留 着 


(全 部 为 0)， 所 以 ， Netmask 的 表示 了 束 成 为 : 


192.168.0.0~192.168.0.255 这 个 C Class 的 Netmask 说 明 

第 一 个 IP: 11000000.10101000.00000000.00000000 

最 后 一 个 : 11000000.10101000.00000000.11111111 

|---------- Net_ID--------- |-host--| 

Netmask : 11111111.11111111.11111111.00000000 <== Netmask 二 进 制 
255 .255. 255 . 0 <== Netmask 十 进 制 

特别 注意 喔 ，netmask 也 是 32 位 ， 在 数值 上 ， 位 于 Net_ID 的 为 1 而 

Host_ID 为 0 


将 他 转 成 十 进 制 的 话 ， 就 成 为 『255.255.255.04 啦 ! 这 样 记忆 简单 多 
了 吧 ! 照 这 样 的 


记忆 方法 ， 那 么 A, B, C Class 的 Netmask 表示 正成 为 这 样 : 

Class A, B, C 三 个 等 级 的 Netmask 表示 方式 : 

Class A : 11111111.00000000.00000000.00000000 ==> 255. 0. 0. 0 
Class B : 11111111.11111111.00000000.00000000 ==> 255.255. 0. 0 
Class C : 11111111.11111111.11111111.00000000 ==> 255.255.255. 0 
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所 以 说 ， 192.168.0.0 ~ 192.168.0.255 这 个 Class C 的 网 域 中 ， 他 的 
Netmask 就 


是 255.255.255.0 ! 再 来 ， 我 们 刚刚 提 到 了 当 Host_ID 全 部 为 0 以 及 全 
部 为 1 的 时 


后 该 IP 是 不 可 以 使 用 的 ， 因 为 Host_ID 全 部 为 0 的 时 后 ， 表 示 卫 是 
该 网 段 的 


Network ， 至 于 全 部 为 1 的 时 后 束 表 示 该 网 段 最 后 一 个 IP ， 也 称 为 
Broadcast ， 所 


以 说 ， 在 192.168.0.0 ~ 192.168.0.255 这 个 IP 网 段 里 面 的 相关 网 络 参数 
就 有 : 


Netmask: 255.255.255.0 <== 网 域 定 义 中 ， 最 重要 的 参数 


Network: 192.168.0.0 <== 第 一 个 卫 

Broadcast: 192.168.0.255 <== 最 后 一 个 IP 

可 用 以 设 定 成 为 主机 的 IP 数 : 

192.168.0.1 ~ 192.168.0.254 

0 

子 网 切 分 

好 了 ， 刚 刚 提 到 Class C 还 可 以 继续 进行 子 域 (Subnet) 的 切 分 啊 ， 以 


192.168.0.0 ~192.168.0.255 这 个 情况 为 例 ， 他 要 如 何 再 细 分 为 两 个 子 
域 呢 ? 我 们 已 


经 知道 Host_ID 可 以 拿 来 当 作 Net_ ID， 那么 Net_ID 使 用 了 25 bits 
上 时， 就 会 如 下 


所 示 : 


原本 的 C Class 的 Net_ID 与 Host_ID 的 分 别 


11000000.10101000.00000000.00000000 Network: 192.168.0.0 


11000000.10101000.00000000.11111111 Broadcast: 192.168.0.255 


|---------- Net_ID--------- |-host--| 
切 成 两 个 子 网 之 后 的 Net_ID 与 Host_ID 为 何 ? 


11000000.10101000.00000000.0 0000000 多 了 一 个 Net_ID 了 ,为 0( 第 


个 子 网 ) 


11000000.10101000.00000000.1 0000000 多 了 一 个 Net_ID 了 ,为 1( 第 


|---------- Net_ID----------- |-host--| 

第 一 个 子 网 

Network: 11000000.10101000.00000000.0 0000000 192.168.0.0 
Broadcast: 11000000.10101000.00000000.0 1111111 192.168.0.127 
|---------- Net_ID----------- |-host-| 

Netmask: 11111111.11111111.11111111.1 0000000 255.255.255.128 
第 二 个 子 网 

Network: 11000000.10101000.00000000.1 0000000 192.168.0.128 
Broadcast: 11000000.10101000.00000000.1 1111111 192.168.0.255 
|---------- Net_ID----------- |-host-| 
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Netmask: 11111111.11111111.11111111.1 0000000 255.255.255.128 


所 以 说 ， 当 再 细 分 下 去 时 ， 就 会 得 到 两 个 子 域 ， 而 两 个 子 域 还 可 以 再 
细 分 下 去 喔 (Net_ID 


用 掉 26 bits .)。 了 呵呵 ! 如 果 你 真 的 能 够 理解 IP, Network, Broadcast, 
Netmask 


的 话 ， 蕉 喜 你 ， 未 来 的 服务 避 学 习 之 路 已 经 顺畅 了 一 半 啦 ! 人 人 
例题 : 
试 着 计算 出 172.16.0.0， 但 Net_ID 占用 23 个 位 时 ， 这 个 网 域 的 


Netmask, Network, Broadcast 等 参数 


从  . 


[ET 
由 于 172.16.xxx.xxx 是 在 Class B 的 等 级 当中 ， 亦 即 Net ID 是 16 位 


才 对 。 不 过 题目 给 的 Net_ID 占用 了 23 个 位 喔 ! 等 于 是 朵 Host_ID 借 
3 


(23-16) 7 个 位 用 在 Net_ID 当中 。 所 以 整个 IP 的 地 址 会 变 成 这 样 : 
预 设 : 172 . 16 .0000000 0.00000000 

|----Net_ID-------------- |--Host---| 

Network: 172 . 16 .0000000 0.00000000 172.16.0.0 

Broadcast: 172 . 16 .0000000 1.11111111 172.16.1.255 

Netmask: 11111111.11111111.1111111 0.00000000 255.255.254.0 


乌 哥 在 这 里 有 偷懒 ， 因 为 这 个 IP 段 的 前 16 个 位 不 会 被 改变 ， 所 以 并 
没 


有 计算 成 二 进 制 (172.16)， 真 是 不 好 意思 啊 一 至 于 粗 体 部 分 则 十 代表 


host_ID 啊 ! 


其 实 了 于 网 的 计算 是 有 偷 吃 步 的 ， 我 们 知道 IP 是 二 进 制 ， 每 个 位 束 是 2 
的 次 方 ' 吕 又 得 


于 IP 数量 都 是 平均 分 配 到 每 个 子 网 去 ， 所以， 如 采 我 们 以 
192.168.0.0 ~ 


192.168.0.255 这 个 网 段 来 说 ， 要 是 给 予 Net ID 是 26 位 时 ， 总 共 分 为 
几 段 呢 ? 


为 26-24=2 ， 所 以 总 共享 掉 两 个 位 ， 因 此 有 2 的 2 次 方 ， 得 到 4 个 网 
段 。 再 将 256 


个 IP 平均 分 配 到 4 个 网 段 去 ， 那 我 们 束 可 以 知道 这 四 个 网 段 分 别 
是 : 


口 192.168.0.0~192.168.0.63 

口 192.168.0.64~192.168.0.127 
口 192.168.0.128~192.168.0.191 
口 192.168.0.192~192.168.0.255 


有 没有 变 简 单 的 感觉 啊 ? 那 你 再 想 想 ， 如 果 同 样 一 个 网 段 ， 那 Net_ID 
变 成 27 个 


位 时 ， 又 该 如 何 计算 呢 ? 目 己 算 算 看 吧 ! 
无 层级 IP: CIDR (Classless Interdomain Routing) 


一 般 来 说 ， 如 果 我 们 知道 了 Network 以 及 Netmask 之 后 ， 束 可 以 定义 
出 该 网 域 的 


所 有 IP 了 ! 因为 由 Netmask 就 可 以 推算 出 来 Broadcast 的 卫 啊 ! 
此 ， 我 们 常常 


会 以 Network 以 及 Netmask 来 表示 一 个 网 域 ， 例 如 这 样 的 写法 : 
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避 

Network/Netmask 

192.168.0.0/255.255.255.0 

192.168.0.0/24 <== 因 为 Net_ID 共有 24 个 bits 


另外 ， 有 既然 Netmask 里 面 的 Net_ID 都 是 1， 那么 ClassC 共有 24 bits 
的 Net ID ， 


所 以 啦 ， 就 有 类 似 上 面 192.168.0.0/24 这 样 的 写法 虽 ! 这 就 是 一 般 网 域 
的 表示 方法 。 


同 理 可 证 ， 在 上 述 的 偷 吃 步 计算 网 域 方法 中 ， 四 个 网 段 的 写法 就 可 以 


口 192.168.0.0/26 

口 192.168.0.64/26 
口 192.168.0.128/26 
口 192.168.0.192/26 


事实 上 ， 由 于 网 络 细 分 的 情况 太 严 重 ， 为 了 担心 路 由 信息 过 于 庞大 导 
致 网 络 效能 不 


佳 ， 因 此 ， 某 些 特 殊 情 况 下 ， 我 们 反而 是 将 Net_ID 借用 来 作为 
Host_ID 的 情况 ! 这 


样 就 能 够 将 多 个 网 域 写 成 一 个 啦 ! 举例 来 说 ， 我 们 将 256 个 Class C 
的 私有 IP 


(192.168.0.0~192.168.255.255) 写成 一 个 路 由 信息 的 话 ， 那 么 这 个 网 段 
的 写法 就 会 变 


成 : 192.168.0.0/16， 反 而 将 192 开头 的 Class C 变 成 class B 的 样子 
了 ! 这 种 


打破 原本 IP 代表 等 级 的 方式 ( 透 过 Netmask 的 规范 ) 就 被 称 为 无 等 级 
网 域 间 路 由 


(CIDR) 路 ! ( 注 14) 
老实 说 ， 你 无 须 理会 啥 是 无 等 级 网 域 间 路 由 啦 ! 只 要 知道 ， 那 个 


Network/Netmask 


的 写法 ， 通 铺 束 是 CIDR 的 写法 ! 然后 ， 你 也 要 知道 如 何 透 过 
Netmask 去 计算 出 


Network, Broadcast 及 可 用 的 IP 等 ， 那 你 的 卫 概念 就 相当 完整 了 ! 入 和 
2.3.5 路 由 概念 


ee 可 以 透 过 站 广播 的 方式 来 达到 资料 传递 
的 目的 。 但 


如 有 果 是 非 区 网 内 的 数据 呢 ? 这 时 藉 得 要 透 过 那个 所 谓 的 邮局 (路 由 器 ) 
的 帮忙 了 ! 这 


也 是 网 络 层 非 常 重要 的 概念 喔 ! 先 来 看 看 什么 是 区 网 吧 ! 
例题 : 
请 问 192.168.10.100/25 与 192.168.10.200/25 是 否 在 同一 个 网 域 


内 ? 


和 次: 
如 果 经 过 计算 ， 会 发 现 192.168.10.100 的 Network 为 192.168.10.0 ， 


但 是 192.168.10.200 的 Network 却 是 192.168.10.128， 由 于 Net_ID 不 
相 


同 ， 所 以 当然 不 在 同一 个 网 段 内 ! 关于 Network 与 Netmask 的 算法 则 
请 参考 


上 一 小 节 。 
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Network A 


IP:192.168.0.1 
GW:192.168.0.254 


192.168.1.254 


PC.11 PC 12 PS 到 PC 14 
IP:192.168.1.1 IP:192.168.1.2 IP:192.168.1.3 IP:192.168.1.4 
GW:192.168.1.254 GW:192.168.1.254 GW:192.168.1.254 GW:192.168.1.254 


Network B 


如 上 题 所 述 ， 那 么 这 两 个 网 段 的 数据 无 法 透 过 广播 来 达到 数据 的 传递 
啊 ， 那 怎 办 ? 此 


时 就 得 要 经 过 IP 的 路 径 选 择 (routing) 功能 啦 ! 我 们 以 下 面 图 示 的 例子 
来 做 说 明 。 


下 列 图 示 当 中 共有 两 个 不 同 的 网 段 ， 分 别 是 Network A 与 Network 
B， 这 两 个 网 段 是 


经 由 一 部 路 由 絮 (Server A) 来 进行 数据 转 递 的 ， 好 了 ， 那 么 当 PC01 这 
部 主机 想 要 传 


送 数据 到 PC11 时 ， 他 的 IP 封包 该 如 何 传输 呢 ? 
2.3-2、 简 易 的 路 由 示意 图 


我 们 知道 Network A(192.168.0.0/24) 与 Network B(192.168.1.0/24) 是 不 
同 网 


段 ， 所 以 PC01 与 PC11 是 不 能 直接 互通 数据 的 。 不 过 ， PC01 与 
PC11 是 如 何 知 道 他 


们 两 个 不 在 同一 个 网 段 内 ? 这 当然 是 透 过 Net_ID 来 发 现 的 ! 那么 当主 
机 想 要 传送 数据 


时 ， 他 主要 的 参考 是 蛤 ? 很 简单 ! 是 『 路 由 表 (route table)4 ， 每 部 主 
机 都 有 目 己 


的 路 由 表 J」 ， 让 我 们 来 看 一 看 预 设 的 情况 下 ， PC01 要 如 何 将 数据 传 
送 到 PC02 呢 ? 


1. 查询 IP 封包 的 目标 卫 地 址 : 
当 PC01 有 了 P 封包 需要 传送 时 ， 主 机 会 查阅 IP 封包 表 头 的 目标 卫 地 
址 ; 


2. 查询 是 否 位 于 本 机 所 在 的 网 域 之 路 由 设 定 : 


PC01 主机 会 分 析 自 己 的 路 由 表 ， 当 发 现 目标 卫 与 本 机 卫 的 Net_ID 
相同 时 
和 
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Internet 


PC 01 
GW:ServerA_ CW: Server B GW:Server C 


Server A Server B Server Bingo 


3. 查询 预 设 路 由 (default gateway): 


但 在 本 案例 中 ，PC01 与 PC11 并 非 同 一 网 域 ， 因 此 PC01 会 分 析 路 由 
表 当 中 是 


人 否 有 其 他 相符 合 的 路 由 设 定 ， 如 有 条 没有 的 话 ， 融 直接 将 该 耻 封包 送 
到 预 设 路 


由 絮 (default gateway) 上 头 去 ， 在 本 案例 当中 default gateway 则 是 
Server 


A 这 一 部 。 


4. 送出 封包 至 gateway 后 ， 不 理会 封包 流 问 : 


当 IP 由 了 PC01 送 给 Server A 之 后 ， PC01 豆 不 理会 接 下 来 的 工作 。 而 


Server 


A 接收 到 这 个 封包 后 ， 会 依据 上 述 的 流程 ， 也 分 析 目 己 的 路 由 信息 ， 
然后 同 后 


继续 传输 到 正确 的 目的 地 主机 上 头 。 

Tips: 

Gateway /Router : 网 关 / 路 由 器 的 功能 就 是 在 负责 不 同 网 域 之 间 
的 封包 转 递 (IP Forwarding)， 由 于 路 由 器 具有 IP Forwarding 的 
功能 ， 并 且 具 有 管理 路 由 的 能 力 ， 所 以 可 以 将 来 自 不 同 网 域 之 间 的 
封包 进行 转 递 的 功能 。 此 外 ， 你 的 主机 与 你 主机 设 定 的 Gateway 必 
定 是 在 同一 个 网 段 内 嘱 ! 

大 致 的 情况 束 古 这 样 ， 所 以 每 一 部 主机 里 面 都 会 存在 着 一 个 路 由 表 


(Route table)， 数 


据 的 传递 将 依据 这 个 路 由 表 进 行 传送 ! 而 一 旦 封包 已 经 经 由 路 由 表 的 
规则 传送 出 去 后 ， 


那么 主机 本 身 束 已 经 不 再 管 封包 的 流 辣 了 ， 因 为 该 封包 的 流 癌 将 是 下 
一 个 主机 (也 束 是 


那 部 Router) 来 进行 传送 ， 而 Router 在 传送 时 ， 也 是 依据 Router 目 己 
的 路 由 表 来 


类 时 该 寺 包 应 该 经 由 哪里 传送 出 去 的 1 整体 来 说 ,数据 传送 有 点 像 这 


2.3-3、 路 由 的 概念 


PC 01 要 将 资料 送 到 Server Bingo 去 ， 则 依据 目 己 的 路 由 表 ， 将 该 封包 
送 到 

Server A 去 ，Server A 再 继续 送 到 Server B ， 然 后 在 一 个 一 个 的 接力 
给 他 送 下 去 ， 

最 后 总 是 可 以 到 达 Server Bingo 的 。 


上 面 的 案例 是 一 个 很 简单 的 路 由 概念 ， 事 实 上 ， Internet 上 面 的 路 由 
协议 与 变化 

征 相当 复杂 的 ， 因 为 Internet 上 面 的 路 由 并 不 是 静态 的 ， 他 可 以 随时 
因为 环境 的 变化 

而 修订 每 个 封包 的 传送 方向 。 举例 来 说 ， 数 年 前 在 痢 竹 因为 土木 施工 
导致 台湾 西部 整 

个 网 络 绩 线 的 中 断 。 不 过 南北 的 网 络 竟 然 还 是 能 通 ， 为 什么 呢 ? 因为 
路 由 已 经 判断 出 

西部 缆 线 的 终止 ， 因此 他 目 动 的 导 回 人 台湾 东部 的 花 连 路 线 ， 虽 然 如 此 
一 来 绕 了 一 大 圈 ， 


而 且 造 成 网 络 的 大 塞车 ， 不 过 封包 还 是 能 通 束 是 了 ! 这 个 例子 仅 是 想 
告诉 大 家 ， 我 们 
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名 
上 面 提 的 路 由 仅 是 一 个 很 商 单 的 静态 路 由 情况 ， 如 有 果 想 要 更 深入 的 了 


解 route ， 请 上 自 
行 参 考 相 关 书 籍 喔 ! 人 入 。 
此 尹 站 ， 在 属于 Public 的 Internet 环境 中 ， 由 于 最 早 时 的 IP 分 配 都 已 经 


配置 当 


当 ， 所 以 各 单位 的 路 由 一 经 设 定 妥 当 后 ， 上 属 的 路 由 则 无 须 担 心 啊 ! 


IP 的 分 配 可 以 参 
考 底 下 的 网 页 : 
0 台湾 地 区 IP 核发 情况 : 


http:/rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 


aton(Startip) 


2.3.6 观察 主机 路 由 : route 


既然 路 由 是 这 么 的 重要 ， 而 且 『 路 由 一 旦 设 定 错误 ， 


包 完 全 无 法 


将 会 造成 某 些 封 


正确 的 送出 去 ! J 所 以 我 们 当然 需要 好 好 的 来 观察 一 下 我 们 主机 的 路 


由 表 啦 ! 还 是 请 


再 注意 一 下 ， 每 一 部 主机 都 有 上 自己 的 路 由 表 喔 ! 观察 路 由 表 的 指令 很 


简单 ， 束 是 route ， 


这 个 指令 挺 难 的 ， 我 们 在 后 面 章节 再 继续 的 介绍 ， 


较 人 简单 的 用 法 : 

[root@wWwww ~]# route [-D] 

选项 与 参数 : 

-n : 将 主机 名 以 IP 的 方式 显示 
[root@www ~]# route 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 


Use Iface 


这 串 仅 议 明 二 芭比 


192.168.0.0 * 255.255.255.0U00 

0 eth0O 

127.0.0.0 * 255.0.0.0U 00 

0 lo 

default 192.168.0.254 0.0.0.0 UG 00 

0 eth0O 

[root@wWwww ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.0.0 0.0.0.0 255.255.255.0U00 

0 eth0 

127.0.0.0 0.0.0.0 255.0.0.0U00 

0 lo 
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名 

0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 

0 eth0O 

# 上 面 输出 的 数据 共有 八 个 字段 ， 你 需要 注意 的 有 几 个 地 方 : 


# Destination : 其 实 束 是 Network 的 意思 ; 


# Gateway : 就 是 该 接口 的 Gateway 那个 IP 啦 ! 若 为 0.0.0.0 表示 不 
需要 额外 的 IP; 

# Genmask : 就 是 Netmask 啦 ! 与 Destination 组 合成 为 一 部 主机 或 网 
域 ; 

# Flags : 共有 多 个 旗 标 可 以 来 表示 该 网 域 或 主机 代表 的 意义 : 

# U: 代表 该 路 由 可 用 ; 

# G: 代表 该 网 域 需要 经 由 Gateway 来 帮忙 转 递 ; 

#H: 代表 该 行路 由 为 一 部 主机 ， 而 非 一 整个 网 域 ; 

# Iface : 就 是 Interface (接口 ) 的 意思 。 


在 上 面 的 例子 当中 ， 鸟 哥 是 以 PC 01 这 部 主机 的 路 由 状态 来 进行 说 
明 。 由 于 PC 01 为 


192.168.0.0/24 这 个 网 域 ， 所 以 主机 已 经 建立 了 这 个 网 域 的 路 由 了 ， 那 


束 古 


『 192.168.0.0 * 255.255.255.0 ... 」 那 一 行 所 显示 的 讯息 ! 当 你 下 达 
route 时 ， 


屏幕 上 说 明了 这 部 机 右上 面 共 有 三 个 路 由 规则 ， 第 一 栏 为 『 目 的 地 的 
网 域 4 ， 例 如 


192.168.0.0 就 是 一 个 网 域 咯 ， 最 后 一 栏 显示 的 是 『 要 去 到 这 个 目的 地 
要 使 用 哪 一 个 


网 络 接口 ! 4 例如 eth0 就 是 网 络 卡 的 法 置 代号 啦 。 如 采 我 们 要 传送 的 
封包 在 路 由 规则 


里 面 的 192.168.0.0/255.255.255.0 或 者 127.0.0.0/255.0.0.0 里 面 时 ， 
为 第 二 栏 


Gateway 为 * ， 所 以 束 会 直接 以 后 面 的 网 络 接口 来 传送 出 去 ， 而 不 透 
过 Gateway 咯 ! 


万 一 我 们 要 传送 的 封包 目的 地 IP 不 在 路 由 规则 里 面 ， 那 么 就 会 将 封包 
传送 到 

『defaultJ 所 在 的 那个 路 由 规则 去 ， 也 就 是 192.168.0.254 那个 
Gateway 喔 ! 所 以 ， 


几乎 每 一 部 主机 都 会 有 一 个 default gateway 来 帮 他 们 负责 所 有 非 网 域 
内 的 封包 转 递 ! 


这 征 很 重要 的 概念 喔 ! 和 人 人! 关于 更 多 的 路 由 功能 与 设 定 方法 ， 我 们 
在 第 八 革 当中 会 再 


次 的 提 及 呢 
2.3.7IP 与 MAC: 链 结 层 的 ARP 与 RARP 协定 


现在 我 们 知道 nternet 上 面 最 重要 的 束 是 那个 卫 了 ， 也 会 计算 所 谓 的 
局 域 网 络 


与 路 由 。 但是， 事实 上 用 在 传递 数据 的 明明 就 十 以 太 网 络 啊 ! 以 太 网 
络 主要 是 用 网 卡 


卡号 (MAC) 的 嘛 ! 这 就 有 问题 啦 ! 那 这 两 者 (IP 与 MAC) 势 改 有 一 个 
关连 性 存在 吧 ? 


没 错 ! 那 束 是 我 们 要 谈 到 的 ARP (Address Resolution Protocol, 网 络 地 
址 解析 ) 协 


议 ， 以 及 RARP (Revers ARP, 反 向 网 络 地 址 解析 ) 


当 我 们 想 要 了 人 解 某 个 IP 其 实 是 设 定 于 某 张 以 太 网 络 卡 上 头 时 ， 我 们 的 
主机 会 对 整 


个 区 网 发 送出 ARP 封包 ， 对 方 收 到 ARP 封包 后 就 会 回 传 他 的 MAC 
给 我 们 ， 我 们 的 主 


机 束 会 知道 对 方 所 在 的 网 卡 ， 那 接 下 来 束 能 够 开始 传递 数据 吵 。 如果 
每 次 要 传送 都 得 
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要 重新 来 一 笛 这 个 ARP 协定 那 不 是 很 烦 ? 因此 ， 当 使 用 ARP 协议 取 
得 目标 IP 与 他 网 


卡 卡 号 后 ， 就 会 将 该 笔记 录 写 入 我 们 主机 的 ARP table 中 (内 存 内 的 数 
据 ) 记录 20 


分 钟 ( 注 14) 。 


例题 : 

如 何 取 得 目 己 本 机 的 网 卡 卡号 (MAC) 
答 : 

在 Linux 环境 下 


[root@www ~]# ifconfig eth0 

eth0 Link encap:Ethernet HWaddr 00:01:03:43:E5:34 

inet addr:192.168.1.100 Bcast:192.168.1.255 

Mask:255.255.255.0 

inet6 addr: fe80::201:3ff:fe43:e534/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
在 Windows 环境 下 


C:\Documents and Settings\admin..> ipconfig /all 


Physical Address. . . . . . ... :00-01-03-43-E5-34 


那 如 何 取得 本 机 的 ARP 表格 内 的 IP/MAC 对 应 数据 呢 ? 就 透 过 arp 这 


半生 

[root@www ~]# arp -[nd| hostname 

[root@www ~]# arp -s hostname(IP) Hardware_address 

选项 与 参数 : 

-n : 将 主机 名 以 IP 的 型 态 显示 

-d : 将 hostname 的 hardware_address 由 ARP table 当中 删除 掉 
-Ss : 设 定 某 个 IP 或 hostname 的 MAC 到 ARP table 当中 


范例 一 : 列 出 目前 主机 上 面 记载 的 IP/MAC 对 应 的 ARP 表格 


[root@www ~]# arp -n 

Address HWtype HWaddress Flags Mask Iface 

192.168.1.100 ether 00:01:03:01:02:03 C eth0 

192.168.1.240 ether 00:01:03:01:DE:0A C eth0 

192.168.1.254 ether 00:01:03:55:74:AB C eth0 

范例 二 : 将 192.168.1.100 那 部 主机 的 网 卡 卡号 直接 写 入 ARP 表格 中 
[root@www ~]# arp -s 192.168.1.100 01:00:2D:23:A1:0E 


# 这 个 指令 的 目的 在 建立 静态 ARP 
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0 


如 同上 面 提 到 的 ， 当 你 发 送 ARP 封包 取得 的 IP/MAC 对 应 ， 这 个 记录 
的 ARP table 是 


动态 的 信息 (一 般 保留 20 分 钟 )， 他 会 随时 随 着 你 的 网 域 里 面 计算 机 的 
IP 更 动 而 变 


化 ， 所 以 ， 即 使 你 第 第 更 动 你 的 计算 机 IP， 不 要 担心 ， 因 为 ARP table 
会 目 动 的 重新 


对 应 IP 与 MAC 的 表格 内 容 ! 但 如 果 你 有 特殊 需求 的 话 ， 也 可 以 利用 
『 arp -sJ 这 


个 选项 来 定义 静态 的 ARP 对 应 喔 ! 


2.3.8 ICMP 协定 


ICMP 的 全 名 是 『 Internet Control Message Protocol, 因特网 讯息 控制 协 
议 ]。 


基本 上 ，ICMP 是 一 个 错误 侦 测 与 回报 的 机 制 ， 最 大 的 功能 整 是 可 以 
确保 我 们 网 络 的 联 


机 状态 与 联机 的 正确 性 ! ICMP 也 是 网 络 层 的 重要 封包 之 一 ， 不 过 ， 
这 个 封包 并 非 独 立 


存在 ， 而 是 纳入 到 IP 的 封包 中 ! 也 就 是 说 ， ICMP 同样 是 透 过 IP 封 
包 来 进行 数据 传 


送 的 啦 ! 因为 在 Internet 上 面 有 传输 能 力 的 就 是 卫 封包 啊 ! ICMP 有 
相当 多 的 类 别 


可 以 侦 测 与 回报 ， 故 下 是 比较 常见 的 几 个 ICMP 的 类 别 (Type): 


类 别名 称 与 意义 


0 
Echo Reply (代表 一 个 响应 信息 ) 
3 


Destination Unreachable (表示 目的 地 不 可 到 达 ) 

Source Quench ( 当 router 的 负载 过 高 时 ， 此 类 别 码 可 用 来 让 发 送 端 
4 

停止 发 送 讯 妃 ) 

5 

Redirect (用 来 重新 导向 路 由 路 径 的 信息 ) 


8 


Echo Request (请 求 啊 应 消息 ) 

Time Exceeded for a Datagram ( 当 数 据 封包 在 某 些 路 由 传送 的 现象 中 
11 

造成 傅 时 状态 ， 此 类 别 码 可 告知 来 源 该 封包 已 被 忽略 的 讯息 ) 
Parameter Problem on a Datagram ( 当 一 个 ICMP 封包 重复 之 前 的 错 
12 

误 时 ， 会 回复 来 源 主机 关于 参数 错误 的 讯息 ) 

Timestamp Request (要 求 对 方 送 出 时 间 讯 息 ， 用 以 计算 路 由 时 间 的 差 


13 


异 ， 以 满足 同步 性 协议 的 要 求 ) 

14 

Timestamp Reply (此 讯 晨 纯粹 是 响应 Timestamp Request 用 的 ) 
Information Request (在 RARP 协议 应 用 之 前 ， 此 讯 上 县 是 用 来 在 开机 
15 

时 取得 网 络 信息 ) 

16 

Information Reply (用 以 啊 应 Infromation Request 讯息 ) 


17 


Address Mask Request (这 讯 县 是 用 来 查询 子 网 mask 设 定 信 息 ) 
18 
Address Mask Reply ( 啊 应 子 网 mask 查询 讯 奶 的 ) 
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MAC 
的 去 级 


窒 降 的 资料 


那么 我 们 是 如 何 利用 ICMP 来 检验 网 络 的 状态 呢 ? 最 简单 的 指令 吏 是 
ping 与 


traceroute 了 ， 这 两 个 指令 可 以 透 过 ICMP 封包 的 辅助 来 确认 与 回报 网 
络 主机 的 状态 。 


在 设 定 防火 墙 的 时 候 ， 我 们 最 容易 忽略 的 就 是 这 个 ICMP 的 封包 了 
因为 只 会 记 住 


TCP/UDP 而 已 ~ 事实 上 ， ICMP 封包 可 以 帮助 联机 的 状态 回报 ， 除 了 
上 述 的 8 可 以 考 


虑 关闭 之 外 ， 基 本 上 ，ICMP 封包 也 不 应 该 全 部 都 挡 掉 喔 ! 
2.4 TCP/IP 的 传输 层 相 关 封 包 与 数据 


网 络 层 的 卫 封包 只 负责 将 数据 送 到 正确 的 目标 主机 去 ， 但 这 个 封包 到 
底 会 不 会 被 


接受 ， 或 者 古 有 没有 人 被 正确 的 接收 ， 那 束 不 是 IP 的 任务 啦 ! 那 是 传 
送 层 的 任务 之 一 。 


从 我 们 可 以 看 到 传送 层 有 两 个 重点 ， 一 个 十 连接 导 疝 的 TCP 
封包 ， 一 个 是 


非 连接 导 回 的 UDP 封包， 这 两 个 封包 很 重要 啊 ! 资料 能 不 能 正确 的 被 
送 达 目的 ， 与 这 


两 个 封包 有 关 喔 | 
2.4.1 可 靠 联 机 的 TCP 协议 


在 前 面 的 OSI 七 层 协议 当中 ， 在 网 络 层 的 IP 之 上 则 十 传送 层 ， 而 传送 
层 的 数据 


打包 成 什么 ? 最 常见 的 就 是 TCP 封包 了 。 这 个 TCP 封包 数据 必须 要 
能 够 放 到 IP 的 


数据 袋 当 中 才 行 喔 ! 所 以 ， 我 们 将 图 2.1-4 简化 一 下 ， 将 MAC, IP 与 
TCP 的 封包 数 


据 这 样 看 : 
图 2.4-1、 各 封包 之 间 的 相关 性 


想当然 尔 ，TCP 也 有 表 头 数据 来 记录 该 封包 的 相关 信息 咀 ? 没 错 啦 一 
TCP 封包 的 


表 头 是 长 这 个 样子 的 : 
4 bits 

6 bits 

6 bits 

8 bits 

8 bits 

Source Port 
Destination Port 
Sequence Number 
Acknowledge Number 
Data 

Reserved 

Code 

Window 
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Offset 


Checksum 

Urgent Pointer 

Options 

Padding 

Data 

图 2.4-2、TCP 封包 的 表 头 资料 

上 图 就 是 一 个 TCP 封包 的 表 头 数据 ， 各 个 项 目 以 Source Port， 


Destination Port 


及 Code 算是 比较 重要 的 项 目 ， 底 下 我 们 整 分 别 来 谈 一 谈 各 个 表 头 数 
据 的 内 容 吧 ! 


吕 Source Port & Destination Port (来 源 端 口 口 & 目标 端口 口 ) 


什么 是 埠 口 (port)? 我 们 知道 IP 封包 的 传送 主要 是 头 由 IP 地 址 连接 两 
端 ， 


但 是 到 底 这 个 联机 的 通道 是 连接 到 哪里 去 呢 ? 没 错 ! 就 是 连接 到 port 
上 头 啦 |! 


举例 来 说 ， 乌 哥 的 网 站 有 开放 WWW 服务 器 ， 这 表示 乌 站 的 主机 必须 
要 局 动 一 个 


可 以 让 client 端 连 接 的 端口 ， 这 个 端口 束 是 port (中 文 翻译 成 为 塌 口 ) 。 
同样 

的 ， 客 户 端 想 要 连接 到 乌 哥 的 鸟 站 时 ， 束 必须 要 在 client 主机 上 面 启 
B= 


port ， 这 样 这 两 个 主机 才能 够 利用 这 条 『 通 道 」 来 传递 封包 数据 喔 ! 
这 个 目标 


与 来 源 port 的 纪录 ， 可 以 说 是 TCP 封包 上 最 重要 的 参数 了 |! 
0 Sequence Number (封包 序号 ) 


由 于 TCP 封包 必须 要 带 入 IP 封包 当中 ， 所 以 如 果 TCP 数据 太 大 时 (大 
于 IP 


封包 的 容许 程度 )， 就 得 要 进行 分 段 。 这 个 Sequence Number 就 是 记 杂 
合作 十 
广汉 


包 的 序号 ， 可 以 让 收受 端 重新 将 TCP 的 数据 组 合 起 来 。 
0 Acknowledge Number (回应 序号 ) 
为 了 确认 主机 端 确实 有 收 到 我 们 client 端 所 送出 的 封包 数据 ， 我 们 


client 端 


当然 希望 能 够 收 到 主机 方面 的 啊 应 ， 那 惑 是 这 个 Acknowledge Number 
的 用 途 了 。 


当 client 端 收 到 这 个 确认 码 时 ， 殊 能 够 确定 之 前 传递 的 封包 已 经 被 正 
确 的 收 下 


于 
0 Data Offset (资料 补偿 ) 


在 图 2.4-2 倒数 第 二 行 有 个 Options 字段 对 吧 ! 那个 Options 的 字段 长 
度 是 


非 固定 的 ， 而 为 了 要 确认 整个 TCP 封包 的 大 小 ， 就 需要 这 个 标志 来 说 
明 整 个 雪 


包 区 段 的 起 始 位 置 。 
DO Reserved (保留 ) 


未 使 用 的 保留 字段 。 


D Code (Control Flag, 控制 标志 码 ) 


当 我 们 在 进行 网 络 联机 的 时 候 ， 必 须要 说 明 这 个 联机 的 状态 ， 好 让 接 
收 问 了 解 这 


个 封包 的 主要 动作 。 这 可 是 一 个 非常 重要 的 句柄 喔 ! 这 个 字段 共有 6 


个 bits ， 

分 别 代表 6 个 句柄 ， 若 为 1 则 为 启动 。 分 别 说 明 如 下 : 
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0 URG(Urgent): 看 为 1 则 代表 该 封包 为 紧急 封包 ， 接收 剖 应 该 要 紧 
和 急 处 理 ， 且 图 2.4-1 当中 的 Urgent Pointer 字段 也 会 被 启用 。 


0 ACK(Acknowledge): 若 为 1 代表 这 个 封包 为 响应 封包 ， 则 与 上 面 提 


到 的 Acknowledge Number 有 关 。 

0 PSH(Push function): 若 为 1 时， 代表 要 求 对 方 立即 传送 绥 冲 区 内 

的 其 他 对 应 封包 ， 而 无 须 等 待 缓冲 区 满 了 才 送 。 

0 RST(Reset): 如 果 RST 为 1 的 时 候 ， 表 示 联 机 会 被 马上 结束 ， 而 无 
需 等 竺 终止 确认 手续 。 这 也 就 是 说 ， 这 是 个 强制 结束 的 联机 ， 且 发 送 


已 断 线 。 


0 SYN(Synchronous): 者 为 1， 表示 发 送 端 希 望 双 方 建立 同步 处 理 ， 
也 


就 是 要 求 建立 联机 。 通 常 带 有 SYN 标志 的 封包 表示 『 主 动 」 要 连接 到 
对 


音 田 
的 意思 S 


0 FIN(Finish): 若 为 1 ， 表 示 传 送 结束 ， 所 以 通知 对 方 数据 传 毕 ， 是 
否 同意 断 线 ， 只 是 发 送 者 还 在 等 待 对 方 的 响应 而 已 。 
其 实 每 个 项 目 都 很 重要 ， 不 过 我 们 这 里 仅 对 ACK/SYN 有 兴趣 而 已 ， 


这 样 


ee 你 才 会 比较 清楚 为 啥 每 个 TCP 封包 都 有 所 谓 
的 了 状态 4 


条 件 ! 那 束 是 因为 联机 方 同 的 不 同 所 致 啊 ! 底下 我 们 会 进一步 讨论 
喔 ! 至 于 其 


他 的 数据 ， 束 得 请 您 自行 查询 网 络 相 关 书 籍 了 1! 
0 Window ( 消 动 窗口 ) 
主要 是 用 来 控制 封包 的 流量 的 ， 可 以 告知 对 方 目前 本 身 有 的 缓冲 器 容 


量 (Receive 


Buffer) 还 可 以 接收 封包 。 当 Window=0 时 ， 代 表 缓 冲 需 已 经 额 满 ， 所 
以 应 该 要 


暂停 传输 数据 。 Window 的 单位 是 byte。 
DChecksum( 确 认 检查 码 ) 


当 数 据 妥 由 发 送 端 送 出 前 ， 会 进行 一 个 检 难 的 动作 ， 并 将 该 动作 的 检 
验 值 标注 在 


这 个 字段 上 ; 而 接收 者 收 到 这 个 封包 之 后 ， 会 再 次 的 对 封包 进行 验 
证 ， 并 且 比 


对 原 发 送 的 Checksum 值 是 否 相符 ， 如 采 相 符 就 接受 ， 知 不 符 天 会 假 
设 该 封包 已 


经 损毁 ， 进 而 要 求 对 方 重 新 发 送 此 封包 ! 


0 Urgent Pointer( 紧 急 资 料 ) 


这 个 字段 是 在 Code 字段 内 的 URG = 1 时 才 会 产生 作用 。 可 以 告知 紧 
急 数据 所 


在 的 位 置 。 
0 Options( 任 意 资 料 ) 


目前 此 字段 仅 应 用 于 表示 接收 问 可 以 接收 的 最 大 数据 区 段 容 量 ， 帮 此 
字段 不 使 用 ， 


表示 可 以 使 用 任意 数据 区 段 的 大 小 。 这 个 字段 较 少 使 用 。 
0 Padding( 补 足 字 段 ) 
如 同 IP 封包 需要 有 固定 的 32bits 表 头 一 样 ， Options 由 于 字段 为 非 固 


aa 


定 
所 以 也 需要 Padding 字段 来 加 以 补 齐 才 行 。 同 样 也 是 32 bits 的 整数 。 
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谈 完 了 Le 表 头 数据 后 ， 再 来 让 我 们 了 解 一 下 这 个 表 头 里 面 最 重要 的 
端口 口 信息 


吧 
UD 
通讯 端口 口 


在 上 图 的 TCP 表 头 数据 中 ， 最 重要 的 喊 属 那 16 位 的 两 个 噬 吃 ， 亦 即 
来 源 与 目标 


的 端口 口 。 由 于 是 16 位 ， 因 此 目标 与 来 源 端口 口 最 大 可 达 65535 号 
(2 的 16 次 方 )! 


那 这 个 塌 口 有 什么 用 途 呢 ?上 面 稍微 提 到 过 ， 网 络 是 双 疝 的 ， 服 务 右 
与 客户 端 要 达成 联 


机 的 话 ， 两 边 应 该 要 有 一 个 对 应 的 埋 口 来 达成 联机 信道 ， 好 让 数据 可 


以 透 过 这 个 信道 


来 进行 沟通 。 


那么 这 个 塌 口 坚 么 打开 呢 ? 器 是 透 过 程序 的 执行 ! 举例 来 说 ， 乌 哥 的 
网 站 上 ， 必 须 


要 启动 一 个 WWW 服务 右 软 件 ， 这 个 服务 絮 软 件 会 主动 的 唤起 port 
80 来 等 行 客户 端 


的 联机 。 你 想 要 看 我 网 站 上 的 数据 ， 束 得 要 利用 浏 哎 絮 ， 填 入 网 址 ， 
然后 浏览 万 也 会 


局 动 一 个 塌 口 ， 并 将 TCP 的 表 头 填写 目标 端口 口 为 80 ， 而 来 源 并 口 
口 是 你 主机 随机 


局 动 的 一 个 塌 口 ， 然 后 将 TCP 封包 封 朔 到 IP 后 ， 送 出 到 网 络 上 。 等 
乌 站 主机 接收 到 


你 这 个 封包 后 ， 再 依据 你 的 埋 口 给 予 回应 。 


这 么 说 你 或 许 不 好 理解 ， 我 们 换个 说 法 好 了 。 假 如 IP 是 网 络 世界 的 门 
牌 ， 那 么 这 


个 翰 口 吏 是 那个 门牌 号 码 上 建筑 物 的 楼 层 ! 每 个 建筑 物 都 有 1~65535 
层 楼 ， 你 需要 什 


么 网 络 服务 ， 殊 得 要 去 该 对 应 的 楼 层 取 得 正确 的 资料 。 但 那个 楼 层 里 
面 有 没有 人 在 服务 


你 呢 ? 这 束 得 要 看 有 没有 程序 真 的 在 执行 啦 。 所 以 ，IP 是 门牌 ，TCP 
古 楼 层 ， 真 正 提 


供 服务 的 ， 是 在 该 楼 层 的 那个 人 (程序 )! 


Tips: 
曾经 有 一 个 朋友 问 过 我 说 ，『 一 部 主机 上 面 这 么 多 服务 ， 那 我 们 跟 
这 部 主机 进行 联机 时 ， 该 主机 怎么 知道 我 们 要 的 数据 是 WWW 还 是 
FTP 啊 ?”J 就 是 透 过 塌 口 啊 ! 因为 每 种 Client 软件 他 们 所 需要 的 
数据 都 不 相同 ， 例 如 上 面 提 到 的 浏览 器 所 需要 的 数据 是 WWW ， 所 以 
该 软件 默认 就 会 向 服务 器 的 port 80 索 求 数据 ;而 如 果 你 是 使 用 
filezilla 来 进行 与 服务 器 的 FTP 数据 索 求 时 ， filezilla 当然 

预 设 就 是 向 服务 器 的 FTP 相关 塌 口 ( 预 设 就 是 port 21) 进行 连 

接 的 动作 啦 ! 所 以 当然 就 可 以 正确 无 误 的 取得 Client 端 所 需要 的 
数据 了 

再 举 个 例子 来 说 ， 一 部 主机 就 好 像 是 一 间 多 功能 银行 ， 该 银行 内 的 
每 个 负责 不 同业 务 的 窗口 就 好 像 是 通讯 端口 口 ， 而 我 们 民众 就 好 像 
是 Client 端 来 的 封包 。 当 你 进入 银行 想 要 缴纳 信用 卡 账 单 时 ， 一 

到 门口 服务 人 员 就 会 指示 你 直接 到 该 窗口 去 缴纳 ， 当 然 ， 如 果 你 是 
要 领 钱 ， 服 务 人 员 就 会 请 你 到 领 钱 的 窗口 去 填写 数据 ， 你 是 不 会 跑 
错 的 对 吧 ! 和 人 人。 万 一 跑 错 了 怎么 办 ? 呵呵 ! 当然 该 窗口 就 会 告诉 


你 『 我 不 负责 这 个 业务 ， 你 请 回去 ! 4， 了 呵呵! 所 以 该 次 的 联机 就 
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会 『 无 法 成 功 」 咯 ! 

0 

特权 埠 口 (Privileged Ports) 


你 现在 了 解 了 翰 口 的 意义 后 ， 再 来 想 想 ， 网 络 既然 是 双 回 的 ， 一 定 有 
一 个 发 起 端 。 

问题 和 症 ， 到 帮 要 联机 到 服务 着 取得 啥 玩意 儿 ? 也 就 是 说 ， 哪 文 程序 应 
该 在 哪个 端口 口 

执行 ， 以 让 大 家 都 知道 该 坦 口 就 古 提 供 哪个 服务 ， 如 此 一 来 ， 才 不 会 
造成 广大 用 户 的 困 


扰 嘛 ! 所 以 哆 ，Internet 上 面 已 经 有 很 多 规范 好 的 固定 port (well- 
known port)， 这 


些 port number 通常 小 于 1024 ， 且 是 提供 给 许多 知名 的 网 络 服务 软件 
用 的 。 在 我 们 


的 Linux 环境 下 ， 各 网 络 服务 与 port number 的 对 应 默认 给 他 写 在 


/etc/services 


档案 内 喔 ! 属 下 乌 哥 列 出 几 个 第 见 的 port number 与 网 络 服务 的 对 


应 : 


端口 口 
服务 名 称 与 内 容 
20 


FTP-data， 文 件 传输 协议 所 使 用 的 主动 数据 传输 端口 口 


21 


FIP， 文 件 传输 协议 的 命令 通道 


22 
SSH， 较 为 安全 的 远程 联机 服务 邦 
23 
Telnet， 早 期 的 远程 联机 服务 器 软件 
25 


SMTP， 人 简单 邮件 传递 协议 ， 用 在 作为 mail server 的 埋 口 
53 
DNS， 用 在 作为 名 称 解 析 的 领域 名 服务 妖 


80 
WWW， 这 个 重要 吧 ! 束 古 全 球 信息 网 服务 器 
110 


POP3， 邮 件 收 信 协 议 ， 办 公 室 用 的 收 信 软 件 都 是 透 过 他 
443 
https， 有 安全 加 密 机 制 的 WWW 服务 妖 


男 外 一 点 比较 值得 注意 的 是 ， 小 于 1024 以 下 的 埋 口 要 局 动 时 ， 局 动 
者 的 吴 份 必 


须要 是 root 才 行 ， 所 以 才 叫 做 特权 埋 口 嘛 ! 这 个 限制 插 重 要 的 ， 大 家 
不 要 起 记 了 喔 | 


不 过 如 果 是 client 端的 话 ， 由 于 client 端 都 是 主动 问 server 端 要 数据 ， 
所 以 


client 问 的 port number 就 使 用 随机 取 一 个 大 于 1024 以 上 且 没 有 在 用 的 


port 
number ° 

U 

Socket Pair 


由 于 网 络 是 双向 的 ， 要 达成 联机 的 话 得 要 服务 器 与 客户 端 均 提供 了 IP 
与 埠 口 才 行 。 


因此 ， 我 们 常常 将 这 个 成 对 的 数据 称 之 为 Socket Pair 了 ! 
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用 ) 
F 惑 六 送 


- 负 上 机 铺 
连 和 要 求 。 接收 铀 回 用 


时 间 秆 过 


来 源 了 P + 来源 埋 口 (Source Address + Source Port) 


目的 P+ 目的 塌 口 (Destination Address + Destination Port) 


由 于 IP 与 埋 口 常常 连 在 一 起 说 明 ， 因 此 网 络 寻 址 常常 使 用 『 IP:port 
J 来 说 明 ， 


例如 想 要 连 上 乌 哥 的 网 站 时 ， 正确 的 乌 哥 网 站 写法 应 该 是 : 


『 linux.vbird.org:80 J 
才 对 ! 
2.4.2 TCP 的 三 向 交 握 


TCP 被 称 为 可 靠 的 联机 封包 ， 主 要 是 透 过 许多 机 制 来 达成 的 ， 其 中 最 
重要 的 束 是 三 


癌 交 握 的 功能 。 当然 ，TCP 传送 数据 的 机 制 非常 复杂 ， 有 兴趣 的 朋 
友 请 目 行 参考 相关 


网 络 书 籍 。 OK， 那 么 如 何 藉 由 TCP 的 表 头 来 确认 这 个 封包 有 实际 被 
对 方 接收 ， 并 进 一 


步 与 对 方 主机 达成 联机 ? 我 们 以 底下 的 图 示 来 作为 说 明 。 
2.4-3、 二 癌 交 握 之 封包 连接 模式 


在 上 面 的 封包 连接 模式 当中 ， 在 建立 联机 之 前 都 必须 要 通过 三 个 确认 
的 动作 ， 所 


以 这 种 联机 方式 也 就 被 称 为 三 癌 交 握 (Three-way handshake)。 那么 我 
们 将 整个 流程 依 


据 上 面 的 A, B, C, D 四 个 阶段 来 说 明 一 下 : 
DD A: 封包 发 起 


当 客 户 端 想 要 对 服务 右 端 联机 时 ， 束 必须 要 送出 一 个 要 求 联 机 的 封 
包 ， 此 时 客户 


端 必须 随机 取 用 一 个 大 于 1024 以 上 的 端口 口 来 做 为 程序 沟通 的 接口 。 
然后 在 


TCP 的 表 头 当中 ， 必 须要 带 有 SYN 的 主动 联机 (SYN=1)， 并 且 记 下 发 
送出 联机 封 


包 给 服务 器 端的 序号 (Sequence number = 10001) 。 
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0 B: 封 包 接 收 与 确认 封包 传送 


当 服 务 右 接 到 这 个 封包 ， 并 且 确 定 要 接收 这 个 封包 后 ， 束 会 开始 制作 
一 个 同时 市 


有 SYN=1, ACK=1 的 封包 ， 其 中 那个 acknowledge 的 号 码 是 要 给 
client 病人 确 


认 用 的 ， 所 以 该 数字 会 比 (A 步骤) 里 面 的 Sequence 号 码 多 一 号 (ack = 
10001+1 


= 10002)， 那 我 们 服务 絮 也 必须 要 确认 客户 站 确实 可 以 接收 我 们 的 封 
外 可 行 


所 以 也 会 发 送出 一 个 Sequence (seq=20001) 给 客户 端 ， 并 且 开 始 等 竺 
客户 端 给 


我 们 服务 器 端的 回应 喔 ! 
0 C: 回 送 确 认 封 包 


和 
个 要 求 

封包 被 正确 的 收受 了 ， 接 下 来 如 果 客 户 端 也 同意 与 服务 器 端 建立 联机 
上 时， 就 会 


再 次 的 发 送 一 个 确认 封包 (ACK=1) 给 服务 器 ， 亦 即 是 acknowledge = 
20001+1 = 


20002 哆 。 
DDD: 取 得 最 后 确认 


大 一 切 都 顺利 ， 在 服务 大 端 收 到 市 有 ACK=1 且 ack=20002 序号 的 封 
包 后 ， 束 能 


够 建立 起 这 次 的 联机 了 。 
也 就 是 说 ， 你 必须 要 了 解 『 网 络 是 双向 的 」 这 个 事实 ! 所 以 不 论 是 服 


务 絮 端 还 是 

客户 端 ， 都 必须 要 透 过 一 次 SYN 与 ACK 来 建立 联机 ， 所 以 总 共 会 进 
行 三 次 的 交谈 ! 在 

设 足 防火墙 或 者 是 退 踪 网 络 联 机 的 问题 时 ， 这 个 『 双 向 4 的 概念 最 容 
易 被 忽略 ， 而 常 


常 导致 无 法 联机 成 功 的 问题 啊 ! 切记 切记 ! 


Tips: 

鸟 哥 上 课 谈 到 TCP 最 常 做 的 事 就 是 ， 叫 一 个 同学 起 来 ， 实 际 表演 三 
向 交 握 给 大 家 看 ! 

1. 乌 哥 说 : A 同学 你 在 不 在 ? 

2. A 同学 说 : 我 在 ! 那 乌 哥 你 在 不 在 ? 


3. 鸟 哥 说 : 我 也 在 
此 时 两 个 人 就 确认 彼此 都 可 以 昕 到 对 方 在 讲 喻 ， 这 就 是 可 靠 联 机 啦 ! 


和 人 和 


2.4.3 非 连 接 导 回 的 UDP 协议 


UDP 的 全 名 是 : 『User Datagram Protocol, 用 户 数据 流 协 议 」，UDP 
与 下 CE 不 


一 样 ，UDP 不 提供 可 靠 的 传输 模式 ， 因 为 他 不 是 面 癌 连接 的 一 个 机 
制 ， 这 是 因为 在 UDP 


的 传送 过 程 中 ， 接 受 并 在 接受 到 封包 之 后 ， 不 会 回复 啊 应 封包 (ACK) 
给 发 送 端 ， 所 以 


封包 并 没有 像 TCP 封包 有 较为 广 密 的 检查 机 制 。 至 于 UDP 的 表 头 次 
料 如 下 表 所 示 : 


16 bits 

16 bits 

Source Port 
Destination Port 
Message Length 
Checksum 
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虱 
Data 
图 2.4-4、UDP 封包 的 表 头 资料 


TCP 封包 确实 是 比较 可 靠 的 ， 因 为 通过 三 癌 交 握 嘛 ! 不 过 ， 也 由 于 三 
回 交 握 的 缘故 ， 


TCP 封包 的 传输 速度 会 较 慢 。 至 于 UDP 封包 由 于 不 需要 确认 对 方 是 
人 否 有 正确 的 收 到 数 


据 ， 故 表 头 数据 较 少 ， 所 以 UDP 就 可 以 在 Data 处 填 入 更 多 的 数据 
了 。 同 时 UDP 比较 


适合 需要 实时 反应 的 一 些 数据 流 ， 例 如 影像 实时 传送 软件 等 ， 束 可 以 
使 用 这 类 的 封包 


传送 。 也 就 是 说 ，UDP 传输 协议 并 不 考虑 联机 要 求 、 联 机 终止 与 流量 
控制 等 特性 ， 所 


以 使 用 的 时 机 是 当 数 据 的 正确 性 不 很 重要 的 情况 ， 例 如 网 络 摄影 机 ! 


另外 ， 很 多 的 软件 其 实 是 同时 提供 TCP 与 UDP 的 传输 协议 的 ， 举 例 
来 说 ， 查 询 主 


机 名 的 DNS 服务 就 同时 提供 了 UDP/TCP 协议 。 由 于 UDP 较为 快 
速 ， 所 以 我 们 client 


端 可 以 爷 使 用 UDP 来 与 服务 器 联机 。 但 是 当 使 用 UDP 联机 却 还 是 无 
法 取得 正确 的 数 


据 时 ， 便 转换 为 较为 可 靠 的 TCP 传输 协议 来 进行 数据 的 传输 嗓 。 这 
样 可 以 同时 兼顾 快 


速 与 可 靠 的 传输 说 ! 


Tips: 


那么 上 课时 怎么 介绍 UDP 呢 ? 很 简单 喔 ! 鸟 哥 就 会 说 ，『 现 在 老师 
就 是 在 进行 UDP 的 传送 ， 因 为 老师 一 直 讲 一 直 讲 ， 俺 也 没有 注意 

到 你 有 没有 听 到 ， 也 不 需要 等 待 你 的 响应 封包 ! 就 这 样 一 直 讲 ! 当 

然 ， 你 没有 听 到 鸟 哥 讲 哈 ， 我 也 不 会 知道 .…] 

2.4.4 网 络 防 火 墙 与 OSI 七 层 协 议 


由 上 面 的 说 明 当 中 ， 我 们 知道 数据 的 传送 其 实 束 十 封包 的 发 出 与 接受 
的 动作 啦 ! 并 


且 不 同 的 封包 上 面 都 有 不 一 样 的 表 头 (header)， 此 外 ， 封 包 上 面 通常 
都 会 具有 四 个 基 


本 的 信息 ， 那 加 是 socket pair 里 面 提 到 的 『 来 源 与 目的 IP 以 及 来 源 与 
目的 端的 


port numberJd “。 当 然 啦 ， 如 采 是 可 靠 性 联机 的 TCP 封包， 还 包含 
Control Flag 里 


面 的 SYN/ACK 等 等 重要 的 信息 呢 ! 好 了 ， 开 始 动 一 动脑 筋 ， 有 没有 
想到 『 网 络 防 火 墙 J 


的 字眼 啊 ? 


封包 过 滤 式 的 网 络 防 火 墙 可 以 抵挡 挥 一 些 可 能 有 问题 的 封包 ， Linux 
系统 上 面 是 


经 么 挡 权 封包 的 呢 ? 其 实说 来 也 是 很 简单 ， 既 然 封包 的 表 头 上 面 已 经 
有 这 么 多 的 重要 信 

轧 ， 那 么 我 融 利 用 一 些 防 火 墙 机 制 与 软件 来 进行 封包 表 头 的 分 机 ， 并 
且 设 定 分 析 的 规 


则 ， 当 发 现 某 些 特定 的 卫 、 特 定 的 塌 口 或 者 是 特定 的 封包 信息 
(SYN/ACK 等 等 )， 那 么 


吕 将 该 封包 给 他 丢 痉 ， 那 葡 是 最 基本 的 防火 墙 原理 了 | 


举例 来 说 ， 大 家 都 知道 Telnet 这 个 服务 器 是 挺 危 险 的 ， 而 Telnet 使 用 
的 port 


number 为 23 ， 所 以 ， 当 我 们 使 用 软件 去 分 析 要 送 进 我 们 主机 的 封包 
时 ， 只 要 发 现 该 


封包 的 目的 地 是 我 们 主机 的 port 23 ， 就 将 该 封包 丢掉 去 ! 那 束 是 最 基 
本 的 防火 墙 案 


例 啦 ! 如 果 以 OSI 七 层 协议 来 说 ， 每 一 层 可 以 抵挡 的 数据 有 : 
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DD 第 四 层 : 针对 TCP/UDP 的 埋 口 进行 抵挡 ， 也 可 以 针对 TCP 的 状态 
(code) 


说 明 喔 ! 
2.5 连 上 Internet 前 的 准备 事项 


讲 了 这 么 多 ， 其 实 我 们 最 需要 的 仪 是 『 连 接 上 Internet 4 啦 ! 那么 在 
Internet 上 


面 其 实 使 用 的 是 TCP/P 这 个 通讯 协议 ， 所 以 我 们 就 需要 Public IP 来 
连接 上 


Internet 啊 ! 你 说 对 吧 一 不 过 ， 你 有 没有 发 现 一 件 事 ， 那 束 是 『 为 啥 
我 不 知道 Yahoo 


的 主机 IP ， 但 是 俺 的 主机 却 可 以 连 到 Yahoo 主机 上 ?J 如果 你 有 发 
现 这 个 问题 的 话 ， 


哈哈 ! 你 可 以 准备 开始 设 定 网 络 史 一 人 人 
2.5.1 用 IP 上 网 ? 主机 名 上 网 ? DNS 系统 ? 


讲 完了 上 头 的 基本 数据 ， 现 在 你 知道 要 连 上 Intemet 就 得 要 有 TCP/IP 
才 行 ! 万 

其 是 那 重要 的 IP 啊 ! 问题 是 ， 计 算 机 网 络 是 依据 人 类 的 需要 来 建立 
的 ， 不 过 人 类 对 


于 IP 这 一 类 的 数字 并 不 具有 敏感 性 ， 即 使 IP 已 经 被 简化 为 十 进 制 
了 ， 但 是 人 类 就 古 


对 数字 没有 办 法 啊 ! 怎么 办 ? 没关系 ， 反 正 计 算 机 都 有 主机 名 嘛 ! 那 
么 我 融 将 主机 名 


与 他 的 IP 对 应 起 来 ， 未 来 要 连接 上 该 计算 机 时 ， 只 要 知道 该 计算 机 的 
主机 名 就 好 了 ， 


因为 IP 已 经 对 应 到 主机 名 了 哪 ! 所 以 人 类 也 容易 记忆 文字 类 的 主机 
名， 计算 机 也 可 以 


夭 由 对 应 来 找到 他 必须 要 知道 的 耻 ， 啊 ! 真是 篆 大 欢喜 啊 ! 
这 个 主机 名 (Hostname) 对 应 IP 的 系统 ， 融 是 易 易 有 名 的 Domain 


Name System 
(DNS) 咯 ! 也 就 是 说 ，DNS 这 个 服务 的 最 大 功能 距 古 在 进行 『 主 机 名 
与 该 主机 的 卫 的 


对 应 4 的 一 项 协议 。 DNS 在 网 络 环境 当中 是 相当 和 背 被 使 用 到 的 一 项 协 
议 喔 ! 举 个 例子 


来 说 ， 像 鸟 哥 我 常常 会 连 到 奇摩 雅虎 的 WWW 网 站 去 看 最 新 的 新 闻 ， 
那么 我 一 定 需要 将 


奇摩 雅虎 的 WWW 网 站 的 IP 背 下 来 吗 ? 天 呐 ， 鸟 哥 的 忘 性 这 么 好 ， 
怎么 可 能 将 耳 背 


下 来 ? ! 不 过 ， 如 果 是 要 将 奇 摩 站 的 主机 名 背 下 来 的 话 ， 那 束 容易 的 
多 了 ! 不 就 是 


http://tw.yahoo.com 吗 ? 而 既然 计算 机 主机 只 认识 IP 而 已 ， 因 此 当 我 
在 浏览 器 上 


面 输入 了 『http://tw.yahoo.comJ 的 时 后 ， 我 的 计算 机 首先 就 会 夭 由 辐 
DNS 主机 查询 


tw.yahoo.com 的 IP 后， 再 将 查询 到 的 IP 结 采 回应 给 我 的 浏览 器 ， 那 
么 我 的 浏览 器 


区 可 以 厌 由 该 卫 来 连接 上 主机 啦 ! 
发 现 了 吗 ? 我 的 计算 机 必须 要 向 DNS 服务 器 查询 Hostname 对 应 IP 的 


信息 喔 ! 


那么 那 部 DNS 主机 的 IP 就 必须 要 在 我 的 计算 机 里 面 设 定好 才 行 ， 并 
旦 必须 要 是 输入 
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IP 喔 ， 不 然 我 的 计算 机 怎么 连 到 DNS 服务 器 去 要 求 数据 呢 ? 呵 呵 ! 
在 Linux 里 面 ， 


DNS 主机 .IP 的 设 定 就 是 在 /etc/resolv.conf 这 个 档案 里 面 啦 ! 


目前 各 大 ISP 都 有 提供 他 们 的 DNS 服务 器 的 IP 给 他 们 的 用 户 ， 好 设 
定 客户 目 己 

计算 机 的 DNS 查询 主机 ， 不 过 ， 如 采 你 坪 记 了 或 者 是 你 使 用 的 环境 
中 并 没有 提供 DNS 


主机 呢 ? 呵呵 ! 没有 关系 ， 那 就 设 定 Hinet 那个 最 大 的 DNS 服务 器 
吧 ! IP 是 


168.95.1.1 咯 ! 要 设 定 好 DNS 之 后 ， 未 来 上 网 浏览 时 ， 才 能 使 用 主机 
名 喔 ! 不 然 就 得 


一 定 需 要 使 用 IP 才能 上 网 呢 ! DNS 是 很 重要 的 ， 他 的 原理 也 顶 复杂 
的 ， 更 详细 的 原理 


[在 第 音 DNS 服务 器 里 面 进行 更 多 更 详细 的 说 明 喔 ! 这 里 仪 提 


个 大 网 1 
2.5.2 一 组 可 以 连 上 Internet 的 必要 网 络 参 数 


ee 说 明 当 中 ， 我 们 知道 一 部 主机 要 能 够 使 用 网 络 ， 必 须要 
IP ， 人 而 IP 


的 设 定 当中 ， 束 必须 要 有 IP, Network, Broadcast, Netmask 等 参数 ， 此 
外 ， 还 需要 


考虑 到 路 由 里 面 的 Default Gateway 才能 够 正确 的 将 非 同 网 域 的 封包 给 
他 传送 出 去 


另外 ， 考 虑 到 主机 名 与 IP 的 对 应 ， 所 以 你 还 必须 要 给 予 系统 一 个 
DNS 服务 器 的 全 才 


行 一 所 以 说 ， 一 组 合理 的 网 络 设 定 需 要 哪些 数据 呢 ? 呵呵 ! 就 是 : 
DIP 


[| Netmask 


[| Network 
LD Broadcast 
LD Gateway 
DDNS 


其 中 ， 由 于 Network 与 Broadcast 可 以 经 由 IP/Netmask 的 计算 而 得 
到 ， 因 此 需 


要 设 定 于 你 PC 端的 网 络 参数 ， 主要 束 是 IP, Netmask, Default 
Gateway DNS 这 四 


个 束 是 了 |! 


没 错 ! 束 古 这 些 数据 ! 如 采 你 是 使 用 ADSL 拨 接 来 上 网 的 话 ， 上 面 这 
些 数 据 都 征 由 


ISP 直接 给 你 的 ， 那 你 只 要 使 用 拨 接 程序 进行 拨 接 到 ISP 的 工作 之 
后 ， 这些 数据 残 目 


动 的 在 你 的 主机 上 面 设 定 完成 了 ! 但 是 如 果 是 固定 制 (如 学 术 网 络 ) 的 
话 ， 那 么 就 得 目 


行使 用 上 面 的 参数 来 设 定 你 的 主机 咖 ! 缺 一 不 可 呢 ! 以 192.168.1.0/24 


这 个 Class C 
为 例 的 话 ， 那 么 你 就 必须 要 在 你 的 主机 上 面 设 定好 底下 的 参数 : 


DIP: 由 192.168.1.1~192.168.1.254 


D Netmask: 255.255.255.0 
[] Network: 192.168.1.0 


[ Broadcast: 192.168.1.255 


0 Gateway: 每 个 环境 都 不 同 ， 请 目 行 询问 网 络 管理 员 


DDNS: 也 可 以 直接 设 定 成 168.95.1.1 
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2.6 重点 回顾 : 


0 虽然 目前 的 网 络 媒体 多 以 以 太 网 络 为 标准 ， 但 网 络 媒体 不 只 有 以 太 
网 络 而 已 ; 


Intemet 主要 是 由 Internet Network Information Center (INTERNIC) 所 


维护 ; 


跳 线 ; 
DD 以 太 网 络 上 最 重要 的 传输 数据 为 Carrier Sence Multiple Access with 


Collision Detect (CSMA/CD) 技术 ， 至 于 传输 过 程 当 中 ， 最 重要 的 
MAC 讯 框 


内 以 硬件 地 址 (hardware address) 数据 最 为 重要 ; 


0 透 过 八 巷 的 网 络 线 (Cat 5 以 上 等 级 )， 现 在 的 以 太 网络 可 以 支持 全 双 
工 模 


Tl 


0 OSI 七 层 协议 为 一 个 网 络 模型 (model) ， 并 非 硬性 规定 。 这 七 层 协议 
可 以 


人 ， 且 每 一 分 层 各 目 独立 ， 方 便 使 用 
开发; 


0 现今 的 网 络 基础 是 架构 在 TCP/IP 这 个 通讯 协议 上 面 ; 
数据 链 结 层 里 重要 的 信息 为 MAC (Media Access ControD) ， 亦 可 称 为 
硬件 


地 址 ， 而 ARP Table 可 以 用 来 对 应 MAC 与 软件 地 址 (IP ); 
0 在 网 络 媒体 方面 ， Hub 为 共享 媒体 ， 因 此 可 能 会 有 封包 碰撞 的 问 
题 ， 至 于 


Switch 由 于 加 入 了 switch port 与 MAC 的 对 应 ， 因 此 已 经 克服 了 封包 
位 撞 的 


问题 ， 也 就 是 说 ，Switch 并 不 是 共享 媒体 ; 


0 IP 为 32 bits 所 组 成 的 ， 为 了 适应 人 类 的 记忆 ， 因 此 转 成 四 组 十 进 制 
的 数据 ，; 


DD IP 主要 分 为 Net ID 与 Host ID 两 部 份 ， 加 上 Netmask 这 个 参数 后 ， 


以 设 定 『 网 域 4 的 概念 ; 
0 根据 IP 网 域 的 大 小 ， 可 将 IP 的 等 级 分 为 A, B,C 三 种 稼 见 的 等 级 ; 


Loopback 这 个 网 段 在 127.0.0.0/8 ， 用 在 每 个 操作 系统 内 部 的 循环 测 
试 中 。 


0 网 域 可 继续 分 成 更 小 的 网 域 (subnetwork)， 主 要 是 透 过 将 Host_ID 借 
位 成 


为 Net_ID 的 技术 ; 


DIP 只 有 两 种 ， 束 是 Public IP 与 Private IP ， 中 文 应 该 翻译 为 公共 IP 


i 私有 (或 保留 ) IP， 私 有 IP 与 私有 路 由 不 可 以 直接 连接 到 Internet 


0 每 一 部 主机 都 有 目 己 的 路 由 表 ， 这 个 路 由 表 规 定 了 封包 的 传送 途 


径 ， 在 
表 当 中 ， 最 重要 者 为 默认 的 通讯 闻 ( Gateway/Router ); 


DTCP 协议 的 表 头 数据 当中 ， 那 个 Code (control flags) 所 这 有 的 ACK， 
SYN, 


FIN 等 为 常见 的 旗 标 ， 可 以 控制 封包 的 联机 成 功 与 否 ; 
DTCP 与 IP 的 IP address/Port 可 以 组 成 一 对 socket pair 
0 网 络 联 机 都 是 双 同 的 ， 在 TCP 的 联机 当中 ， 需 要 进行 客户 端 与 服务 


DB LU 


名 亲 沿 


次 的 SYN/ACK 封包 发 送 与 确认 ， 所 以 一 次 TCP 联机 确认 时 ， 需 要 进 
行 三 向 交 


握 的 流程 ; 
0 ~ 0 因此 适用 于 快速 实时 传输 且 不 
数据 


需要 


可 靠 的 软件 中 ， 例 如 实时 通讯 ; 


0 ICMP 封包 最 主要 的 功能 在 回报 网 络 的 侦 测 状况 ， 故 不 要 使 用 防火 
墙 将 他 完 


全 挡 挥 ; 
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0 一般 来 说 ， 一 部 主机 里 面 的 网 络 参数 应 该 具备 有 : IP, Netmask, 


Network, 

Broadcast, Gateway, DNS 等; 

0D 在 主机 的 port 当中 ， 只 有 root 可 以 局 用 小 于 1024 以 下 的 port ; 
DDNS 主要 的 目的 在 于 进行 Hostname 对 应 IP 的 功能 ; 

2.7 本 章 习 题 


DD 在 ISP 提供 的 网 络 服务 中 ， 他 们 提 到 传输 速度 为 1.5M/382K ， 请 问 


这 个 数 

据 的 单位 为 何 ? 

数据 单位 为 bits/second, 与 惯用 的 bytes 差 8 倍 。 

什么 是 MAC (Media Access Control) ，MAC 主要 的 功能 是 什么 ? 


Media Access Control 的 缩写 ， 为 以 太 了 网络 便 件 讯 框 的 规格 ， 以 太 了 网络 


是 以 MAC 讯 框 进行 数据 的 传送 。 目前 MAC 也 常 被 用 为 以 太 网 络 卡 
卡号 的 代称 。 


0 什么 是 封包 碰撞 ? 为 什么 会 发 生 封包 碰 拉 ? 


当主 机 要 使 用 网 络 时 ， 必 须要 先进 行 CSMA/CD 监听 网 络 ， 如 果 (1) 网 
络 使 用 


频繁 (2) 网 络 间隔 太 大 ， 则 可 能 会 发 生 监听 时 均 显 示 无 主机 使 用 ， 但 
发 出 封包 


后 却 发 生 同 步 发 送 封包 的 情况 ， 此 时 两 个 封包 就 会 产生 碰撞 ， 造成 数 


据 损 驶 。 


DARP Table 的 作用 为 何 ? 如 何在 我 的 Linux 察看 我 的 ARP 表格 ? 


ARP 协议 主要 在 分 析 MAC 与 卫 的 对 应 ， 而 解析 完毕 后 的 数据 会 存在 
系统 


的 内 存 中 ， 下 次 要 传送 到 相同 的 IP 时， 就 会 主动 的 直接 以 该 MAC 传 
送 ， 而 不 


发 送 广播 封包 询问 整个 网 域 了 。 
利用 arp -n 即 可 
0D 人 简略 说 明 Netmask 的 作用 与 优点 ; 


Netmask 可 以 用 来 区 分 网 域 ， 且 Netmask 可 以 有 效 的 增加 网 络 的 效 


是 因为 Netmask 可 以 定义 出 一 个 网 域 的 大 小 ， 那 么 broadcast 的 时 间 就 
可 以 降 


低 很 多 ! 一 般 来 说 ， 我 们 如 条 要 将 一 个 大 网 域 再 细 分 为 小 网 域 ， 也 需 
要 其 由 


Netmask 来 进行 subnet 的 切割 。 


DD 我 有 一 组 网 域 为 ， 192.168.0.0/28 ， 请 问 这 个 网 域 的 Network， 
Netmask, 


Broadcast 各 为 多 少 ? 而 可 以 使 用 的 IP 数量 与 范围 各 是 多 少 ? 

因为 共有 28 个 bits 是 不 可 动 的 ， 所 以 Netmask 地 址 的 最 后 一 个 数字 为 
11110000， 也 就 是 (128+64+32+16=240) ， 所 以 : 

Network: 192.168.0.0 
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Netmask: 255.255.255.240 


Broadcast: 192.168.0.15 
IP: 由 192.168.0.1~ 192.168.0.14 共 14 个 可 用 了 王 喔 ! 
口水 上 题 ， 如 果 网 域 是 192.168.0.128/29 呢 ? 


因为 是 29 个 bits 不 可 动 ， 所 以 最 后 一 个 Netmask 的 地 址 为 : 
11111000 


也 就 是 (128+64+32+16+8=248)， 所 以 : 

Network: 192.168.0.128 

Netmask: 255.255.255.248 

Broadcast: 192.168.0.135 

IP: 由 192.168.0.129 ~ 192.168.0.134 共 6 个 可 用 的 卫 喔 ! 


0D 我 要 将 192.168.100.0/24 这 个 Class C 的 网 域 分 为 4 个 子 域 ， 请 问 这 
四 


个 子 域 要 如 何 表示 ? 


既然 要 分 为 四 个 网 域 ， 也 就 是 还 需要 厌 助 Netmask 的 两 个 bits (2 的 2 
次 


方 为 4 啊 ! )， 所 以 Netmask 会 变 成 255.255.255.192 ， 每 个 子 域 会 有 
256/4=64 


个 I ， 而 必须 要 扣除 Network 与 Broadcast ， 所 以 每 个 子 域 会 有 62 个 
可 用 


IP 喔 ! 因此 ， 四 个 子 域 的 表示 方法 为 : 


192.168.100.0/26, 192.168.100.64/26, 192.168.100.128/26， 


192.168.100.192/26。 


D 如 何 观察 Linux 主机 上 面 的 路 由 信息 (route table)? 

路 由 信息 的 观察 可 以 下 达 route 来 直接 察看 ! 或 者 是 下 达 route -n 亦 可 
DTCP 封包 上 面 的 SYN 与 ACK 标志 代表 的 意义 为 何 ? 

SYN 代表 该 封包 为 该 系列 联机 的 第 一 个 封包 ， 亦 即 是 主动 联机 的 意 


ACK 则 代表 该 封包 为 确认 封包 ， 亦 即 是 回应 封包 ! 
0 什么 是 三 癌 交 握 ? 在 哪 一 种 封包 格式 上 面 才 会 有 三 同 交 握 ? 


使 用 TCP 封包 才 会 有 三 向 交 握 。TCP 封包 的 三 向 交 握 是 一 个 确认 封包 
正确 


性 的 重要 步骤 ， 通 过 SYN, SYN/ACK, ACK 三 个 封包 的 确认 无 误 后 ， 
才能 够 建立 


联机 。 至 于 UDP 封包 则 没有 三 癌 交 握 喔 ! 


0 试 说 明 何谓 有 网 管 ? 无 网 管 的 switch ? 此 外 ， 这 些 switch 的 硬件 应 
算 在 


OSI 七 层 协议 的 第 几 层 ? 


有 网 管 者 ， 会 在 switch 内 部 加 入 其 他 的 小 型 O0S， 大 以 探 管 卫 或 
MAC 的 


流通 ; 通常 基础 的 switch 仪 达 控 管 MAC ， 故 为 OSI 第 二 层 ( 数 据 链 
结 层 ) 

0D 为何 ISP 有 时 候 会 谈 到 『 申 请 固定 8 个 IP ， 其 中 只 有 5 个 可 以 

用 J ， 


你 觉得 问题 出 在 哪里 ? 如 采 以 网 域 的 观念 来 看 ， 他 的 netmask 会 是 多 


少 ? 
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因为 如 采 是 一 个 网 域 的 话 ， 那 么 八 个 了 王 前 后 (Host_ID 全 为 0 与 1 的 条 


件 ) 为 Network 及 Broadcast ， 加 上 一 个 在 ISP 处 的 Gateway ， 所 以 仅 
有 5 


个 可 以 用 。 因 为 有 8 个 IP， 所 以 其 netmask 后 八 bits 为 11111000 ， 故 
为 


255.255.255.248 。 
DD Internet 协议 中 共 包 含 "Network Access Layer", "Internet Layer", 


"Transport Layer", "Application Layer"， 请 将 这 四 层 与 OSI 七 层 协议 的 
内 


容 进 行 连结 (自行 上 网 查询 相关 文章 说 明 ); 

Network Access Layer: 泗 盖 Data-Link 及 Physical Layer 

Internet Layer: 也 是 Network Layer 

Transport Layer: 也 是 Transport Layer 

Application Layer: 酒 盖 Application Layer Persentatin Layer Session 


Layer. 


0 请 自行 上 网 查询 关于 NetBIOS 这 个 通讯 协议 的 相关 理论 基础 ， 并 请 
说 明 


NetBIOS 是 否 可 以 跨 路 由 ? 


什么 是 Socket pair? 包含 哪些 基本 数据 ? 


由 IP 封包 的 IP address 与 TCP 封包 的 port number 达成 ， 分 别 为 目的 
问 的 IP/port 与 本 地 端的 IP/port 。 


IP 有 一 段 A Class 的 网 段 分 给 系统 做 为 测试 用 ， 请 问 该 网 段 为 ? 设 
定 的 名 


称 为 ? 

127.0.0.0/8, loopback 

DICMP 这 个 协议 最 主要 的 目的 为 ?同时 做 为 了 响应 4 的 类 别 为 第 几 
和 


做 为 网 络 检测 之 用 ， 为 第 8 类 (echo request) 


0 IP 封包 表 头 有 个 TTL 的 标志 ， 请 问 该 标志 的 基本 说 明 为 何 ? 其 数据 
有 何 特 性 ? 


为 该 封包 的 存活 时 间 ， 该 时 间 每 经 过 一 个 node 都 会 减少 一 ， 当 TIL 
为 0 


时 ， 该 封包 会 被 路 由 器 所 丢弃 。 该 数据 最 大 为 255 。 


0 在 Linux 当中 ， 如 何 查 询 每 个 port number 对 于 服务 的 对 应 
(filename) 


/etc/services 档案 中 有 纪 孙 
DD 什么 是 星 形 联机 ? 优点 为 何 ? 
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0 


利用 一 hub/switch 链接 所 有 的 网 络 设备 的 一 种 联机 方式 ， 最 大 的 好 处 


EI 
全， 


每 个 『 网 络 设备 与 switch 之 间 J 都 是 独立 的 ， 所 以 所 以 每 个 主机 故障 
时 均 不 


会 影响 其 他 主机 的 联机 。 

0 请 说 明 CSMA/CD 的 运作 原理 ? 

发 送 流程 

een 


传送 ， 否 则 继续 监听 ; 
2. 当 数 据 传送 钟 ， 发 现 有 碰撞 情况 时 ， 则 会 重新 监听 网 络 ， 并 且 重 新 
发 


送 一 次 该 封包 ; 

3. 若 重复 发 生 碰撞 16 次 ， 则 网 络 会 瘫痪 ; 

接收 流程 

a 


5. 在 接收 到 一 个 封包 ， 并 且 该 表 头 所 载 MAC 为 本 喘 的 网 卡 卡 号 ， 则 
开 


始 接收 该 封包 ， 否 则 将 该 封包 丢弃 ; 

6. 接收 过 程 当中 如 果 发 生 封包 碰撞 ， 则 会 通知 原 发 送 主机 碰撞 的 数 
据 ; 

7. 封包 接收 完毕 后 ， 会 以 MAC 表 头 所 载 长 度 同 时 分 析 本 封包 长 度 ， 
各 

发 生 问 题 ， 则 会 通知 对 方 重新 传送 。 


2.8 参考 数据 与 延伸 阅读 
特别 感谢 : 


本 文 在 2002/07 发 出 之 后 ， 收 到 相当 多 朋友 的 关心 ， 也 从 而 发 现 了 目 


己 误会 的 一 些 基 


础 的 网 络 理论 ， 真 的 是 感谢 好 朋友 Netman 兄 与 ZMAN 见 的 指导 上 ! 这 
篇 短文 在 第 二 版 时 


(2003/08/03) 做 了 相当 大 幅度 的 修订 ， 与 原来 的 文章 (上 次 更 新 日 期 
2002/09) 已 经 


有 一 定 程度 的 差异 了 ， 第 三 版 又 针对 整个 内 容 与 阅读 顺序 进行 调整 
(2010/08)， 和 希望 网 


友 们 如 果 有 时 间 的 话 ， 能 够 再 次 的 阅读 ， 以 厘清 一 些 基本 概念 喔 ! 
0 注 1: 粳 添 奉 着 ，『Intemet 网 络 原理 与 实务 」， 旗 标 出 版 社 。 


吕 注 2: Robert Breyer & Sean Riley 着 ， 风 信子 , 张 民 人 译 ， 【Switched 
区 


Fast 以 太 网 络 」， 旗 标 出 版 社 


0 注 3: IEEE 标准 的 网 站 连结 : http://standards.ieee.org/ 


DD 注 4: Request For Comment (RFC) 技术 文 住 ， http:Mwwwsrfc- 
editor.org/ 


0D 注 5: RFC-1122 标准 的 文件 数据 : 


ftp://ftp.rfc-editor.org/in-notes/rfc1122 .txt 


DD 注 6: 粘 添 奉 老 师 官 网 :http:/wwwi.tsnien.idv.tw/, 因特网 相关 课程 : 


http://120.118.165.46/tsnien/network/index.html( 强烈 建议 前 往 参 阅 ) 


0 注 7: 台湾 学 术 网 络 简介 (TANET): 
http:/www.edu.tw/moecc/content.aspx?site content sn=1707 
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0 注 8: Study Area 之 网 络 基础 : 


http://www.study-area.org/network/network.htm 


0D 注 9: 维基 百科 对 OSI 协定 的 说 明 : 


http://en.wikipedia.org/wiki/OSI model 


DD 注 10: Phil Dykstra, Gigabit Ethernet Jumbo Frames: 
http://sd.wareonearth.com/~phil/jumbo.html 

DD 注 11: Hub 与 Switch 的 迷 思 : 

0 注 12: 管理 IP 的 单位 与 相关 说 明 :_http://www.internic.org/， 
http:/www.icann.org/, http://www.iana.org/, 
http://en.wikipedia.org/wiki/IPv4 


DD 注 13: 管理 IP 的 单位 ,http:/www.iana.org/, 台湾 地 区 IP 核发 情 
1: 


http:/rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 
aton(Startip) 
0 注 14: 相关 参考 数据 


TTCP/IP Tllustrated, Volume 1 - The Protocols4 ，W. Richard Stevens ， 


A 


资 策 会 中 文化 部 门 译 ; 


http://en.wikipedia.org/wiki/Classless Inter-Domain Routing 


0 PPPoOE 


http://en.wikipedia.org/wiki/Point-to-Point Protocol over Ethernet 


2002/07/18: 第 一 次 完成 日 期 ! 

2002/09/26: 修改 了 部 分 可 能 引起 误解 的 文章 部 分 ! 

2003/08/03: 重新 编排 有 版面， 并 且 重 新 检视 文章 内 容 ， 修 订 文 章 ! 
2003/08/20: 增加 重点 回顾 与 课 后 练习 

2003/09/06: 加 入 参考 用 解答 

2004/03/16: 修订 N-Way 的 错误 ， 订 正 为 Auto MDVMDIX 的 功能 ! 
2006/02/09: 将 旧 的 文章 移动 到 此 处 


2006/07/12: 参考 了 精 教 授与 风 信子 兄 的 书籍 ， 修 改 了 很 多 基础 数据 
喔 ! 还 有 重点 整理 ， 


不 过 ， 练 习 尚 未 更 狐 
2006/07/16: 加 入 习题 练习 哎 ! 


2007/10/21: 图 14 那个 UDP 的 表 头 资料 中 ，16 bits 误 植 为 16 bytes， 
感谢 讨论 区 


ricky.liu 的 告知 ! 


2008/04/21: 经 由 网 友 chyanlong 兄 的 指点 ，IHL 的 大 小 单位 误 植 为 
byte， 应 该 是 字 


组 (word) 才 对 。 


2010/07/22: 将 基于 CentOS4.x 所 写 的 数据 放置 于 此 处 


2010/08/15: 将 章节 依据 TCP/IP 相关 的 层级 分 别 介 绍 ， 更 改 的 幅度 不 
小 喔 ! 


2011/07/15: 将 基于 CentOS 5.x 所 撰写 的 文章 移动 到 此 处 
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最 近 更 新 日 期 : 2011/07/15 


在 这 一 章 当 中 ， 我 们 会 继续 讨论 在 一 个 小 型 企业 或 家 庭 里 面 的 小 型 局 
域 网 络 规划 ， 以 让 的 所 有 计算 机 主 


机 都 可 以 直接 利用 以 太 网 络 进行 数据 的 连接 啊 ! 一 般 来 说 ， 内 部 局 域 
网 络 部 布 望 直接 使 用 私有 IP 来 设 


定 沟 通 环境 ， 直 授 以 人 简单 的 星 形 联机 做 为 网 络 施工 的 主要 类 型 ， 底 下 
下 来 谈 一 谈 如 何 规划 你 主机 在 星 形 


联机 所 应 该 要 放置 的 状态 。 最 终 我 们 也 列 出 本 书 所 需要 的 局 域 网 络 联 
机 架构 图 喔 | 


现在 瓯 让 我 们 实际 的 来 将 家 里 或 者 小 型 企 


部 计算 机 给 他 连接 起 来 吧 ! 当然 啦 ， 我 们 这 里 主要 介绍 的 是 小 型 局 域 
网 络 的 架构 ， 如 


果 是 比较 大 型 的 企业 内 部 ， 那 么 将 『 配 线 盘 、 线 路 设计 、 墙 上 网 络 
孔 J 分别 拆 开 施 工 


的 结构 化 布线 会 比较 妥当 。 不 过 ， 结 构 化 布线 并 非 本 文 所 想 要 讨论 
的 ， 如 采 你 的 企业 


有 需求 的 话 ， 可 以 向 专业 人 士 寻 求 协助 ， 举 例 来 说 ， 酷 学 园 


家 。 无 论 如 何 ， 
先 来 将 所 有 的 网 络 硬件 联机 起 来 吧 ! 
3.1.1 局 域 网 络 的 布线 规划 


从 前 一 章 的 数据 探讨 中 ， 你 现在 应 该 已 经 知道 局 域 网 络 的 定义 了 。 大 
部 分 狭义 的 定 


义 中 ， 都 将 局 域 网 络 定位 在 一 个 以 星 形 联机 连接 的 实体 网 络 中 ， 再 透 
过 IP 网 段 来 连 


接 在 一 起 的 情况 。 所 以 啦 ， 这 个 联机 十 怎么 连接 在 一 块 的 ， 以 及 人 Pp 
网 段 是 如 何 规 划 


的 ， 就 显 的 非常 重要 哆 1! 
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必 


记得 以 前 听 ZMAN 大 哥 某 场 演 讲 的 时 候 提 到 ， 网 络 布线 是 『 数 十 年 大 
计 J4 中 最 重要 


的 一 环 ， 因 为 了 服务 器 主机 能 力 不 够 时 换 主 机 束 好 了 ，Switch 交换 力 
不 足 时 换 switch 


就 好 了 ， 但 如 果 布 线 不 良 ， 难 道 要 拆 掉 房子 将 管线 控 出 来 重新 安装 设 
定 ? 」 所 以 说 ， 最 


初 规划 的 布线 严谨 度 真 的 会 影响 到 未 来 网 络 的 分 布 情况 啊 ! 


所 以 说 ， 如 果 你 的 企业 『 整 栋 大 楼 需要 重新 布线 时， 真 的 非常 建议 
你 务必 要 找寻 


专业 网 络 布线 专家 帮忙 设计 规划 ， 因为 连 一 个 小 小 的 机 柜 配 线 箱 都 有 
大 学 问 一 设计 的 
好 的 话 ， 每 部 独立 的 主机 票 改 线路、 要 换 插 孔 都 变 的 很 简单 ! 而 且 主 
机 到 墙 上 插 孔 的 


距离 也 会 变 的 很 得， 维护 也 会 很 方便 ! 线段 也 会 很 美观 ! 当然 啦 ， 如 
此 一 来 ， 网 络 线 


材 的 选择 也 就 不 能 够 用 太 差 的 ! 而 且 网 络 布线 经 过 折 角 区 时 ， 也 需要 


特别 留意 施工 呐 。 


但 是 本 文 讨论 的 是 一 些 比较 小 的 局 域 网 络 环境 ， 这 样 的 环境 可 以 是 在 
一 间 办 公 室 内 


而 已 ， 所 以 我 们 这 里 谈 到 的 大 多 是 比较 单纯 的 布线 状态 ， 并 没有 考虑 
到 办 公 室 外 部 的 


环境 ， 所 以 参考 本 文 时 ， 请 特别 留意 这 种 差异 性 哩 ， 


在 这 样 单纯 的 环境 中 ， 我 们 可 以 利用 一 个 以 switch 为 中 心 来 串 连 所 有 
设备 的 星 形 


联机 (star topology) 架构 来 设计 我 们 的 局 域 网 络 啊 ! 在 这 样 的 环境 中 你 
需要 担心 的 


征 『 那 我 的 Linux 服务 右 要 放 在 那个 地 方 ? 4 会 考虑 Linux 服务 器 是 
因为 乌 哥 假设 你 


需要 在 你 的 局 域 网 络 内 架设 对 Internet 开放 网 络 的 服务 ! 而 Linux 是 


否 具有 


Public IP 对 于 主机 的 维护 与 设 定 的 复杂 度 有 很 大 的 影响 ， 所 以 当然 需 
要 考虑 嗓 ! 发 


下 乌 哥 以 目前 在 台湾 挺 流行 的 ADSL 利用 电话 线路 上 网 的 环境 来 说 明 
几 种 联机 状态 。 


在 底下 的 环境 当中 ， 乌 哥 假 设 我 们 仅 有 一 条 ADSL 的 对 外 联机 ， 也 束 
征 说 ， 我 们 


的 Linux 与 一 般 PC (不 论 何 种 操作 系统 ) 都 是 透 过 同一 条 线 连 到 
Internet 上 面 去 


的 。 
3.1.1-1 Linux 直接 联网 -与 PC 同 地 位 


如 果 你 使 用 的 ADSL 是 多 IP 的 条 件 (例如 拨 接 可 以 给 予 2-8 个 IP 的 情 
况 )， 


那么 最 简单 的 方式 束 古 如 下 图 的 联机 模式 .: 
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ADSL 数据 机 


3.1-1、Linux 服务 器 取得 public IP 的 联机 方式 之 一 (具有 多 个 可 用 
IP 情况 ) 


在 这 种 联机 模式 当中 ，Linux 与 一 般 PC 或 打印 机 都 是 同等 地 位 ， 并 
没有 谁 比较 
『 大 尾 ! 」^ 入 如 果 不 急 着 连 上 Internet 上 时， 那么 每 个 设备 都 给 予 一 个 
同 网 域 的 私有 


IP 就 可 以 进行 网 络 联机 的 工作 了 ， 你 也 可 以 很 快乐 的 使 用 打印 机 或 者 
是 网 络 上 的 芳 邻 


等 等 工作 。 此 外 ，Linux 服务 右 也 可 以 作为 内 部 的 文件 服务 器 或 者 是 
打印 机 服务 右 等 


人 EE 
于 


当 需 要 连 上 Intemet 时 ， 每 部 计算 机 (包括 PC 与 Linux 主机 ) 都 可 以 目 
己 直 


接 透 过 拨 接 连 上 ， 而 由 于 拨 接 是 在 每 部 机 器 上 面 『 额 外 增加 一 个 实体 
的 ppp0 接口 」 ， 


此 时 ， 你 的 系统 内 束 会 有 两 个 可 以 使 用 的 I 了 (一 个 是 public 一 个 是 


private IP)。 


因此 ， 拨 接 上 网 之 后 每 部 主机 还 是 可 以 使 用 原 有 的 局 域 网 络 内 的 各 项 
服务 ， 而 无 须 更 


动 原本 设 定 妥当 的 私有 耳 。 这 样 的 情况 对 于 一 般 家 庭 使 用 者 来 说 ， 
可 以 算是 最 佳 的 


解决 方案 啦 ! 因为 如 果 你 的 Linux 主机 挂 点 时 ， 其 他 个 人 的 PC 是 不 
会 被 影响 的 ! 


不 过 这 样 的 环境 对 于 小 型 企业 主 来 说 ， 却 不 好 管理 。 因 为 无 法 掌握 每 
个 员工 实际 上 


网 的 情况 ， 而 且 对 于 防火 墙 来 说 ，『 根 本 就 是 一 个 没有 防火 墙 的 环 
境 l] ， 所 以 ， 是 没 


有 办 法 对 员工 进行 任何 实际 网 络 的 掌控 的 ， 并 且 由 于 网 络 内 外 部 
(LAN 与 外 部 环境 ) 并 


没有 明确 的 分 开 ， 网 管 人 员 对 于 进入 客户 端的 封包 是 没有 任何 管理 的 
能 力 ， 所 以 对 于 


网 络 安全 来 说 ， 是 很 难 管控 的 一 种 环境 啊 ! 因此 对 于 企业 来 说 ， 不 建 
议 这 种 环境 。 


3.1.1-2 Linux 直接 联网 -与 一 般 PC 分 开 网 域 
如 果 你 有 多 个 可 用 的 public IP ， 并 且 你 的 Linux 服务 器 主要 是 提供 


Internet 


的 WWW 或 mail 服务 ， 而 不 是 作为 内 部 的 文件 服务 器 之 用 ， 那 么 将 
Linux 服务 器 与 


内 部 的 网 域 分 开 也 是 个 可 行 的 方法 ， 而且 Linux 拥有 public IP， 在 设 
定 与 维护 上 面 


也 不 困难 ， 如 下 所 示 : 
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图 3.1-2、Linux 服务 器 取得 public IP 的 联机 方式 之 二 (具有 多 个 可 用 
IP 情况 ) 


所 有 的 LAN 内 的 计算 机 与 相关 设备 都 会 在 同一 个 网 域内 ， 所 以 在 
LAN 内 的 传输 速 


度 是 没有 问题 的 ， 此 外 ， 这 些 计算 机 要 连 出 至 Internet 时 ， 必 须要 透 
过 IP 分 享 器 ， 


所 以 你 也 可 以 在 IP 分 圣 右 上 面 设 定 简单 的 防火 墙 规 则 ， 如果 IP 分 至 
船 可 以 换 更 高 


阶 的 设备 时 ， 那 么 你 就 可 以 在 该 设备 上 面 架 设 规则 较为 完整 的 防火 
墙 ， 对 于 内 部 主机 


有 相当 程度 的 管理 ， 并 且 好 维护 啊 ! 
3.1.1-3 Linux 直接 联网 -让 Linux 直接 管理 LAN 


如 有 果 你 不 想 要 购买 IP 分 至 器 的 话 ， 那 么 直接 利用 Linux 服务 器 来 管理 
就 好 了 啊 ! 


那么 你 可 以 这 样 布线 : 
图 3.1-3、 让 Linux 管理 LAN 的 布线 情况 
net.giang(@hotmail.com 
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IP 分 享 器 ADSL 败 据 机 


这 种 情况 下 ， 不 论 你 有 多 少 个 IP 都 可 以 适用 的 ， 尤 其 是 当 你 只 有 一 个 
public IP 


时 ， 就 非得 使 用 这 种 方式 不 可 了 。 让 Linux 作为 IP 分 享 器 的 功能 相当 
的 简单 ， 同 时 


Linux 必须 具备 两 张 网 络 卡 ， 分 别 是 对 外 与 对 内 ， 由 于 Linux 依旧 具 
有 public IP ， 


所 以 在 服务 器 的 设 定 与 维护 上 相当 的 简单 ， 同 时 Linux 服务 器 可 以 做 
为 内 部 网 域 对 外 


的 防火 墙 之 用 ， 由 于 Linux 防火 墙 的 效能 挺 不 错 加 上 设 定 也 很 简单 ， 
功能 却 也 是 很 不 


错 的 ! 因此 ， 网 络 管理 人 员 也 较 能 进行 较 完 善 的 掌控 ， 并 且 ， Linux 
服务 器 也 要 比 高 

阶 的 硬件 防火 墙 便宜 多 了 ! 和 入 乌 哥 个 人 是 比较 喜好 这 种 方式 的 联机 
啦 ! 


不 过 ， 我 们 都 知道 『 服 务 右 提供 的 网 络 服务 越 单纯 越 好 4 ， 因为 这 样 
一 来 主机 的 


痪 源 可 以 完全 被 某 个 程序 所 使 用 ， 不 会 互相 影响 ， 而 且 当主 机 被 攻击 
时 ， 也 比较 能 够 


立即 了 解 是 那个 环节 出 了 问题 。 但 是 如 同 图 3.1-3 的 状况 来 说 的 话 ， 
由 于 内 部 的 LAN 


征 需 要 通过 Linux 才能 联机 出 去 ， 所 以 Linux 挂 点 时 ， 整 个 对 外 联机 
束 挂 了 ， 此 外 ， 


Linux 的 服务 可 能 吕 太 复 杀 了 点 ， 可 能 会 造成 维护 上 的 困难 度 。 但 对 
于 小 型 区 网 来 说 ， 


3.1-3 这 种 架构 还 是 可 以 应 付 的 来 的 啦 ! 
3.1.1-4 Linux 放 在 防火 墙 后 -让 Linux 使 用 Private IP 


我 们 可 以 将 Linux 服务 器 放 在 LAN 后 面 喔 ! 瞎 密 ?我们 的 Linux 主机 
放 在 LAN 


里 面 ? 有 没有 搞 错 啊 ? 没 搞 错 啊 ~ 比较 大 型 的 企业 通常 会 将 他 们 的 服 
务 器 主机 放置 在 


机 房 内 ， 主 要 是 在 LAN 的 环境 下 ， 再 透 过 防火 墙 的 封包 重新 导 回 的 
功能 ， 将 来 目 


Internet 的 封包 先 经 过 防火 墙 后 才 进 入 到 服务 絮 ， 如 此 一 来 可 在 防火 
墙 高 式 砍 挥 一 堆 


莫名其妙 的 侦 测 与 攻击 ， 当 然 会 比较 安全 啊 ! 这 种 架构 还 依 防火 载 的 
多 堵 而 义 可 分 为 


非 军事 区 (DMZ) 的 配置 ， 不 过 ， 太 麻烦 了 一 人 不 建议 初学 者 直接 使 用 。 
哲 下 我 们 仪 介绍 


较 人 简单 的 架构 来 说 明 : 
3.1-4、Linux 主机 放 在 LAN 里 面 的 布线 情况 


这 里 我 们 以 一 个 较 催 单 的 图 示 来 说 明 ， 所 以 利用 的 还 是 耳 分 译 侨 ， 可 
能 的 话 ， 你 


可 以 将 他 分 至 器 换 成 Linux 主机 来 碎 设 防火 墙 ， 也 是 一 个 不 错 的 选择 
啊 ! 反正 现在 
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计算 机 天 天 在 升级 ， 升 级 后 的 旧 配 备 其 实 束 可 以 作为 Linux 防火 墙 之 
用 了 ! 反正 防火 


墙 又 不 需要 什么 硬盘 与 强 效 的 显示 或 者 CPU， 只 要 有 不 错 的 网 络 接口 
忠 能 够 达到 不 错 


的 防火 墙 效能 了 。 


不 过 这 里 得 再 次 的 强调 ，Linux 服务 右 主 机 者 放 在 LAN 里 面 (使 用 
private IP), 


则 当 你 要 对 Intemet 提供 网 络 服务 时 ， 防火墙 的 规则 将 变 的 相当 复 
杂 ， 因 为 需要 进 


行 封包 转 递 的 任务 ， 在 茶 些 比较 麻烦 的 协议 当中 ， 可 能 会 造成 设 定 方 
面 的 困扰 。 所 以 ， 


在 你 初 接触 Linux 服务 器 时 ， 不 建议 狐 手 使 用 这 种 联机 染 构 ， 避 人 免 由 
于 失去 信心 而 没 


有 动力 学 习 ~(@_@)。 
每 种 联机 的 方式 都 有 其 适用 的 使 用 者 群 ， 所 以 没有 那个 是 比较 好 的 ， 


完全 是 看 你 目 


己 的 网 络 环境 而 定 喔 ! OK1! 我 们 现在 知道 要 连 上 以 太 网 络 组 成 的 局 
域 网 络 ， 就 得 要 有 


网 络 卡 、 网 络 线 、 网 络 集中 媒体 (hub/switchb)、 过 上 Internet 的 调制 解 


口 日 名 入 名 
调 器 等 等 ， 


在 这 里 乌 哥 将 防火 墙 、 路 由 器 等 等 设备 归 类 为 主机 ， 因 为 基本 上 ， 这 
些 组 件 内 部 一 定 


会 台 有 一 个 网 络 卡 ， 只 是 操作 系统 的 精简 程度 与 软件 功能 的 不 同 葡 是 
本 = 拖 公 这 包 所 


需要 的 网 络 硬 件 又 该 如 何 挑选 呢 ? 
3.1.2 网 络 媒体 选 购 建议 


在 开始 故 下 的 介绍 之 前 ， 你 必须 要 对 于 跳 线 、 并 行 线 、RJ-45 网 络 
线 、Hub/Switch 


伪 等 等 有 一 定 程度 的 了 解 ， 请 再 前 往 第 二 革 网 络 基础 看 一 看 。 此 


外 ， 不 在 我 们 局 


域 网 络 内 的 设备 ， 例 如 调制 解 调 右 ， 那 束 得 问 你 的 ISP 询问 了 ! 一 般 
来 说 ， 调制 解 调 


右 是 中 华电 信 提 供给 用 户 的 ， 然 而 由 于 『 中 华电 信 因 为 不 同 批 次 安装 
的 调制 解 调 器 模块 


不 同 ， 所 以 会 有 不 一 样 的 连接 与 线材 处 理 方式 ! 4( 跳 线 与 并 行 线 的 
差异 喔 ! ) 所 以 请 


特别 向 你 的 ISP 询问 才 行 。 底 下 主要 针对 局 域 网 络 内 的 网 络 媒体 来 进 
行 介绍 与 说 明 。 


0 主机 硬件 系统 : 考虑 使 用 年 限 、 省 电 、 虚拟 技术 等 


过 去 我 们 都 觉得 旧 的 计算 机 拿 来 安装 Linux ， 作 为 一 个 Linux server 挺 
不 错 。 后 来 乌 哥 


发 现 ， 很 多 旧 计 算 机 其 实 已 经 超过 使 用 年 限 ， 硬 要 使 用 有 点 问题 ， 因 
为 电子 零件 钨 怕 会 皖 


不 了 太 久 的 运作 时 间 。 而 且 ， 某 些 时 刻 生产 的 主机 其 实 非 常 耗 电 ! 现 
在 我 们 都 强调 要 节能 减 


矶 哪 ! 所 以 ， 可 以 购买 省 电 型 的 计算 机 主机 ， 并 且 CPU 含有 虚拟 化 
能 力 的 更 好 。 如 此 一 来 ， 


不 但 比较 省 电 ， 而 且 一 部 主机 可 以 透 过 虚拟 化 的 功能 ， 仿 真 出 多 部 操 
作 系 统 同时 运作 的 环 


境 ， 真 正 达到 万 能 减 兢 的 目的 ， 那 样 也 是 很 好 的 选择 吻 ! 


不 过 ， 选 购 什 么 主机 配备 与 该 主机 即将 运作 的 服务 其 实 是 有 关系 的 ， 
例如 防火 墙 系统 与 DHCP 


等 服务 并 不 需要 很 强 的 主机 ， 但 是 Proxy 及 SQL 等 服务 器 就 得 要 强 而 
有 力 的 主机 系统 ， 


甚至 得 要 磁盘 阵列 的 辅助 会 比较 好 ! 鸟 哥 在 后 续 的 章节 所 要 介绍 的 服 
务 ， 大 多 仅 征 企业 内 


部 或 者 是 外 部 很 轻松 的 服务 ， 并 不 需要 什么 强 效 的 主机 系统 ， 因 此 有 目 
前 的 双核 心 入 门 级 机 种 ， 


已 经 非常 棱 了 ! 所 以 嗓 ， 花 太 多 时 间 在 介绍 主机 硬件 殉 变 的 没有 什么 
意义 ! 你 只 要 记得 ， 


新 购买 主机 时 ， 最 好 选 有 伪 指 令 集 的 CPU 即 可 。 
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0 Linux 操作 系统 : 考虑 稳定 、 可 网 络 升 级 、 能 够 快速 取得 协助 文 持 


你 可 以 将 目前 的 distribution 分 成 两 大 类 ， 一 类 是 多 功能 新 鲜 货 ， 例 如 
Fedora ， 一 种 


是 强调 性 能 稳定 但 软件 功能 较 旧 的 企业 用 途 货 ， 包 括 RHEL, CentOS， 
SuSE 及 B2D 等 ! 


一 般 来 说 ， 我 们 会 建议 你 如 果 想 要 架设 服务 右 时 ， 尽 量 选 择 『 稳 定性 
较 高 的 企业 版 4 较 佳 ， 


因为 功能 新 且 强 的 版 本 例如 Fedora 由 于 太 强 调 痢 鲜 货 ， 所 以 核心 与 软 
件 的 变动 情况 较为 频 


党 ， 那 就 很 容易 造成 一 些 困 扰 ， 因 为 很 多 用 户 目 行 安 闭 的 软件 可 能 
法 在 新 的 核心 上 面 跑 ， 


所 以 ， 只 要 核心 一 升级 ， 哇 ! 很 多 需要 编译 的 软件 束 剖 需要 再 重新 编 
译 过 ! 有 点 碾 烦 整 是 了 。 


由 于 乌 哥 用 惯 了 RPM 以 及 Red Hat 系统 的 关系 ， 所 以 在 这 里 推荐 你 使 
用 


RHEL/CentOS/SuSE 这 几 个 Linux distributions， 因 为 他 够 稳定 且 设 定 
上 面 不 难 。 不 过 ， 


里 面 的 软件 版 本 可 能 惑 不 会 是 最 新 的 ， 这 点 你 可 能 殉 得 要 目 行 设法 
哆 ! 比较 特别 的 是 


CentOS， 他 不 但 标榜 完全 相同 于 RHEL ， 并 且 可 以 直接 透 过 yum 这 
个 软件 进行 完整 版 本 的 


网 络 升级 ， 既 不 会 影响 到 原 有 的 设 定 ， 升 级 时 所 花费 的 时 间 又 短 ， 所 
以 ， 目 前 乌 哥 都 是 以 


这 个 版 本 来 进行 服务 右 的 架设 啊 ! 


口 网 络 卡 :考虑 服务 器 用 途 、 内 建 与 否 、 驱 动 程序 的 取得 等 


一 般 来 说 ， 目 前 的 新 主机 几乎 都 是 内 建 gigabit 的 以 太 网 络 卡 了 ， 所 以 
你 不 需要 额外 购买 


网 络 卡 。 不 过 ， 使 用 内 建 的 网 络 卡 时 ， 你 得 要 注意 到 该 网 络 卡 是 否 为 
特殊 的 网 络 心 片 ， 根 


据 以 往 的 经 验 ， 内 建 的 网 络 卡通 党 是 心 片 较 特 殊 的 ， 所 以 可 能 导致 
Linux 预 设 的 网 卡 张 动 


程序 无 法 顺利 的 驱动 该 网 络 卡 ， 那 束 比 较 于 了 ~ 因为 你 必须 要 额外 的 
安 逆 网 卡 弛 动 程序 之 后 ， 


才能 够 顺利 的 使 用 该 款 网 络 卡 哩 。 


如 果 是 想 要 作为 Linux 服务 器 的 话 ， 那 么 你 的 网 络 卡 可 能 必须 要 购买 
好 一 点 的 。 举 例 来 说 ， 


某 些 主板 内 建 便宜 的 gigabit 网 络 接口 ， 但 越 便 宜 的 网 络 接口 可 能 会 造 
成 损耗 较 多 的 CPU 

资源 ， 如 果 能 够 购买 类 似 Inte/3Com 等 知名 品牌 的 gigabit 适 配 卡 ， 不 
但 传输 较为 稳定 ， 

并 且 可 以 降低 系统 资源 的 耗费 ， 是 有 一 定 程 度 的 帮助 的 。 另 外 ， 如 果 
强调 高 速 的 话 ， 甚至 


可 以 选用 PCI-Express 的 网 络 卡 ， 而 不 使 用 传统 的 PCI 接口 。 因 为 
PCI-Express 的 传输 


带宽 更 高 。 

Tips: 

你 知道 吗 ? 乌 站 (http:wlinux.vbird.org) 使 用 的 主机 硬件 是 旧 

式 的 AthlonXP 2000+， 内存 也 仅 有 1.5G ， 使 用 的 网 络 卡 则 是 早 


期 的 3Com 3c905C 忆 片 ， 速 度 仅 有 10/100 Mbps。 但 是 ， 使 用 到 目 


前 流量 传输 征 很 顺畅 的 ! 不 要 说 品牌 迷 思 ， 有 时 产品 的 用 料 实在 与 
否 ， 很 重要 。 


0 不过， 如 果 是 一 般 家 用 ， 或 者 是 准备 用 来 作为 学 习 机 之 用 的 主机 .， 
那么 万 一 网 络 卡 发 片 无 法 


驱动 时 ， 请 先 买 个 螃蟹 卡 (芯片 是 Real Tek 8139) 来 作为 练习 之 用 ， 
因为 Linux 本 身 


忠文 持 Real Tek 8139 的 必 片 ， 你 不 需要 额外 的 驱动 程序 ， 这 样 会 方便 
学 习 啊 ! 而 且 该 网 


络 卡 也 很 便宜 (大 卖场 一 片 不 到 200 块 台币 ) 。 
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Tips: 

如 果 要 玩 Linux 又 想 比 较 顺 畅 的 玩弄 Linux 时 ， 请 不 要 坚持 使 用 
Linux 捉 不 到 的 网 络 卡 ! 否则 那 份 失望 的 心情 .… 会 让 你 失去 很 
多 很 多 的 耐性 与 信心 啊 ~ 螃 蟹 卡 最 好 认 的 地 方 在 于 其 世 片 上 面 有 个 
类 似 螃 蟹 的 Logo ， 以 前 鸟 哥 曾 经 在 大 卖场 上 面 逛 大 街 时 ， 还 『 踢 


过 一 整 排 螃蟹 卡 一 便宜 到 都 放 在 地 上 而 已 @ _@ 
D SwitchMMHub: 考虑 主机 数量 、 传 输 训 宽 、 网 管 功能 与 否 等 
出 里 面 曾 经 谈 到 的 ， Hub 是 共享 媒体 而 Switch 


享 媒体 。 因 此 以 效能 以 及 带宽 来 看 ， 当 然 是 switch 比较 好 用 啊 ! 不 
过 ， 如 果 你 是 一 般 


家 许 用 户 ， 只 是 要 作 人 简单 的 上 网 等 工作 ， 是 没有 必要 购买 太 好 的 
switch 的 ， 建议 使 用 一 


般 大 卖场 可 以 买 到 的 5 port 的 hub 即 可 (差不多 500 块 台币 的 就 不 错 
J 


不 过 如 果 你 常常 在 区 网 内 传送 大 量 的 数据 ， 例 如 一 次 传输 就 得 要 传送 
GBytes 的 数据 时 ， 那 


么 网 络 的 整体 速度 需要 很 详细 的 考虑 喔 ! 包括 网 络 卡 最 好 使 用 gigabit 
， 当然 中 间 的 联机 


设备 最 好 买 支持 到 gigabit 速度 的 switch 啦 ! 因为 10/100/1000Mbps 的 
switch 要 比 


10/100Mbps 的 设备 快 上 十 倍 ， 速 度 可 是 差 很 多 的 啊 ! 如 果 你 的 设备 还 
需要 更 快 时 ， 例 如 乌 


可 之 前 服务 的 实验 室内 部 的 cluster (从 集 式 计算 机 群 ) ， 则 购买 的 
switch 甚至 需要 支持 


Jumbo frame 这 种 支持 大 讯 框 的 硬件 架构 才 行 ， 否 则 速度 上 不 来 啊 ! 
网 络 线 : 考虑 与 速度 相配 的 等 级 、 线 材 形状 、 施 工 配 线 等 


在 所 有 串 连 网 络 的 设备 当中 ， 网 络 线 是 最 重要 ， 但 是 却 也 最 容易 被 忽 
略 一 除了 网 络 线 的 等 级 


会 影响 到 连接 速度 外 ， 网 络 线 所 在 处 是 否 容 易 被 压 折 ? 是 否 容易 有 讯 
号 展 减 ? 目 己 压制 的 


RJ-45 接头 是 否 通 过 测试 ?网 络 线 是 否 缠 绕 情 况 疗 重 ? 都 会 影响 到 网 
络 的 传输 优 务 ! 所 以 ， 


虽然 我 们 常常 讲 要 确认 主机 与 Switch 是 否 有 连接 成 功 可 以 看 switch 上 
的 灯 号 ， 但 是 很 多 


时 候 虽 然 灯 号 是 亮 的 ， 不 过 由 于 网 络 线 折 损 严重 的 问题 ， 也 会 导致 联 
机 质量 不 恨 喔 ! 


一 般 来 说 ， 


【个 体 户 4 与 小 型 企业 通 彰 网络 线 是 直接 放 在 外 部 的 ， 这 种 情况 你 发 
现 网 络 怪 性 


的 时 ， 可 以 直接 更 换 线 路 。 不 过 ， 如 有 条 是 如 同 中 大 型 企业 将 网 络 线 直 
接 埋 在 载 内 或 者 是 在 


管线 当中 ， 发 现 问 题 时 ， 真 的 很 麻烦 ~ 所 以 才 需 要 专业 人 才 的 辅助 
呵 ! 


Tips: 

一 般 来 说 ， 越 高 等 级 的 网 络 线 ， 最 好 不 要 自行 制作 ， 因 为 一 个 小 小 

的 RJ-45 接头 的 压制 ， 由 于 管线 裸露 程度 的 不 同 ， 就 会 影响 到 电 

子 屏 蔽 效应 的 优 劳 了 。Cat 5 等 级 的 线材 还 可 以 自行 压制 ， 比 他 还 

高 等 级 的 ， 最 好 还 是 买 现成 的 吧 ! 入 

无 线 网 络 相 关 设 备 : 考虑 速度 、 标 准 、 安 全 性 等 
其 


现在 的 网 络 环境 除了 传统 的 有 线 网 络 之 外 ， 其 实 还 有 一 个 也 是 很 常见 
的 咀 ， 那 就 是 无 线 网 络 


啦 ! 无 线 网 络 会 流行 主要 的 原因 除了 笔记 本 电脑 能 力 越 来 越 强 ， 使 得 
很 多 朋友 直接 以 笔记 
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本 电脑 取代 桌面 计算 机 之 外 ， 无线 网 络 的 速度 目前 已 经 可 以 达到 54 ~ 
300 Mbps 那么 快 了 


(802.11n 的 标准 而 言 )， 对 于 一 般 只 是 上 网 看 新 闻 与 聊天 的 上 班 族 来 
说 ， 这样 的 速度 实在 


是 非常 快 了 (一般 的 ADSL 仅 是 2M/256K bps 而 已 )， 所 以 要 买 无 线 网 
络 设备 ( 含 基 地 台 


与 在 client 端的 无 线 网 卡 ) 来 做 成 局 域 网 络 ， 其 实 也 是 可 以 啦 ! 而 且 
还 可 以 省 去 网 络 线 


的 施工 呢 ! 


不 过 ， 无 线 网 络 最 大 的 问题 第 常 在 于 『 无 线 的 安全 性 4 方面， 因为 是 
无 线 的 设备 ， 所 以 『 基 


地 台 如 果 没 有 做 好 防备 措施 的 话 ， 常 常会 导致 LAN 内 的 主机 数据 被 
窃取 4 


， 这 可 是 非常 大 


的 问题 喔 ! 可 千 万 不 要 小 看 这 个 问题 ， 吃 上 官司 常常 是 由 于 起 记 网 络 
安全 啊 ! 记得 购买 无 


线 网 络 基地 台 时 ， 注 意 他 可 否 『 限 制 MAC 4 ， 如 此 一 来 ,至少 可 以 
锁 网 卡 ， 只 让 指定 的 网 


卡 可 以 使 用 你 的 无 线 基地 人 台 ， 比 较 安 全 啦 ! 


0 关于 其 他 配件 : 


事实 上 ， 整 个 网 络 环境 可 不 止 上 头 提 到 的 这 些 噬 咯 而 已 ， 还 包括 硬件 
防火 墙 、 路 由 右 、 网 桥 


等 等 的 ， 当然 ， 这 些 设备 贵 的 话 也 有 上 百 万 的 ， 但 你 的 环境 是 否 需要 
用 到 这 么 好 的 设备 ， 


那 束 见仁见智 啊 一 此 外 ， 为 了 环境 的 美观 与 生活 的 便利 ， 你 总 不 布 户 
走 在 路 上 被 网 络 线 所 


绊 倒 ， 也 不 希望 因为 网 络 线 绊 倒 你 导致 网 络 媒体 掉 落 ， 结果 .……. 损失 
了 一 堆 $$ 吧 一 


所 以 哆 ， 在 网 络 线 的 转角 人 处 必须 特别 注意 线材 的 保护 ， 在 平面 地 上 则 
需要 特别 使 用 压条 给 


予 固 定 ， 在 率 线 施 工 的 时 候 尽 量 让 线材 沿 着 墙角 或 者 是 墙 面 上 的 既 有 
物品 ， 如 此 则 除了 保 


持 工 作 场 所 的 美观 之 外 ， 还 能 够 增加 工作 场所 的 安全 性 啊 ! 和信 
Wk, 


【计算 机 上 网 的 速度 并 非 完 全 取决 于 网 络 市 宽 」 举例 来 说 ， 玩 在 线 游 
戏 时 ， 大 家 都 以 


为 网 络 带 视 需 要 很 高 规格 ， 其 实 … 根 本 不 需要 ! 因为 3D 联机 游戏 最 
主要 的 速度 瓶颈 应 该 


征 在 于 『3D 显示 J」 而 不 是 网 络 。 这 是 因为 网 络 仅 传送 一 些 数据 给 你 的 
主机 ， 而 你 的 主机 再 


在 目 己 的 人 硬盘 里 面 将 图 形 取 出 ， 并 且 使 用 3D 绘图 卡 将 画面 绘制 到 你 
的 屏幕 上 。 所 以 ， 显 


示 速 度 或 者 是 CPU 不 够 力 时 ， 才 会 发 生 联 机 游戏 的 顿 点 。 否 则 天 是 联 
机 游戏 服务 器 本 里 的 


负载 (loading) 太 大 ， 导 致 主机 响应 有 较 多 延迟 ， 就 产生 lag ( 顿 点 ) 的 
问题 啦 ! 


男 外 ， 包 括 你 主机 使 用 的 数据 是 否 具 有 快速 的 传输 接口 也 有 天。 举例 
来 说 ， 如 果 你 的 主机 使 


用 USB 1.1 (最 大 传输 12Mbps)， 但 网 络 速 度 可 达 10/100/1000Mbps ， 
那 当 你 要 在 远程 使 


用 这 部 计算 机 的 USB 装置 内 的 数据 时 ， 最 大 速度 会 古 『 12Mbps 4 
， 也 就 古 最 慢 的 那 一 个 组 


件 。 所 以 啊 ， 网络 速度 慢 的 时 候 ， 不 要 以 为 只 要 增加 网 络 带宽 就 好 
了 ， 要 确切 的 找 出 问题 


啊 ! 


事实 上 ， 选 购 网 络 媒体 所 需要 考虑 的 参数 实在 太 多 了 ， 并 且 没 有 一 定 
的 依据 ， 完 全 


与 使 用 者 的 使 用 环境 与 未 来 功能 性 有 关 。 不 过 ， 如 采 痢 眼 在 单纯 的 硬 
件 速度 上 面 的 话 ， 


那么 选 购 时 考虑 『 我 的 网 络 速度 可 接受 的 最 低速 度 为 何 ” 4 去 考虑 
吧 ! 如 有 果 行 有 余力 


的 话 ， 再 来 考虑 『 我 的 环境 需要 多 稳定 的 设备 来 达成 ? 4 其 他 的 ， 那 
忠 得 要 靠 你 目 己 摸 


索 咖 ! 信人 


3.2 本 书 使 用 的 内 部 联机 网 络 参数 与 通讯 协议 
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Router A 


IP 外 ; public IP 
IP[N: 192.168.1.254/24 


WWwWw.centos.vbird( 本 者 训 的 主机 ) 


IP 外 : 192,.168.1.100/24 
PP 内 : 192.168.100.254/24 


Workstation 
IP: 192.168.1.101 
Gateway: 192.168.1.254 


192.168.100.10 192.168.100.20 192.168.100.30 | 
| Default gateway: 192.168.100.254 : 


Daamaamannnnnnnnnnnnnnnnnnnnnnnnnnn nnn 


| 
| 
| 
| 
clientlinux WIinxp Win7 
| 
{ 
| 


除非 你 已 经 具有 相当 熟练 的 Linux 系统 与 服务 器 染 设 维护 经 给， 否则 
不 建议 你 使 


器 架设 成 功 之 外 ， 也 可 以 让 你 以 Linux 做 为 内 部 LAN 的 防火 墙 管理 中 
,对 于 未 来 


的 学 习 成 长 方面 较 有 帮助 啊 ! 和信 
3.2.1 联机 参数 与 通讯 协议 


为 使 你 的 服务 器 学 习 之 旅 较 有 连贯 性 ， 因 此 乌 哥 将 后 续 章 节 会 使 用 到 
的 区 网 环境 以 


设计 一 个 区 网 ， 包 括 相 关 的 网 络 参数 如 下 所 示 : 
3.2-1、 本 书 所 使 用 的 区 网 环境 与 参数 设 定 


在 上 图 的 环境 下 ， 我 们 主要 介绍 的 是 www.centos.vbird 那 部 Linux 主 
机 ， 该 主 


机 必须 要 具有 router 的 能 力 ， 所 以 当然 必须 束 要 有 两 个 接口 ， 一 个 接 
口 与 Internet 


沟通 ， 另 一 个 接口 则 与 内 部 的 LAN 沟通。 那么 为 什么 乌 哥 说 的 是 
『 两 个 网 络 接口 而 


不 是 了 两 张 网 络 卡 4」 呢 ? 原因 很 徐 单 ， 因为 一 张 网 络 卡 可 以 设 定 多 个 
IP 啊 ! 因此 ， 


在 Linux 当中 一 张 网 络 卡 可 以 具有 一 个 以 上 的 耳 呢 ! 由 于 一 个 IP 即 
为 一 个 网 络 接 


口 ， 因 此 只 要 两 个 网 络 接口 (不 论 有 几 张 网 络 卡 ) 即 可 进行 NAT (类 似 
IP 分 享 器 功能 ) 


的 设 定 啦 ! 所 以 目 然 一 个 网 络 卡 即 可 吗 ! 不 过 ， 乌 哥 个 人 还 是 比较 喜 
欢 并 且 建 议 两 张 网 


络 卡 的 啦 ， 将 内 外 网 络 环境 完整 的 分 开 ， 主 你 的 内 部 网 络 效能 较 佳 一 
扎 ! 
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关于 与 Internet 的 联机 方面 ， 就 如 第 二 章 谈 到 的 ， 目 前 在 台湾 最 常见 
的 有 ADSL， 


Cable Modem, 学 术 网 络 的 固定 IP 等 ， 这些 联机 的 方式 我 们 将 在 后 续 
草书 继续 介绍 的 。 


至 于 内 部 的 LAN 我 们 则 建议 使 用 Private IP 来 设 定 喔 ! 鸟 哥 通常 喜欢 
使 用 


192.168.1.0/24 及 192.168.100.0/24 这 几 个 Class C 的 网 域 ， 没 什么 特殊 
原因 ， 只 


是 因为 .... 我 喜欢 ! 人 人 在 选 定 了 Private IP 的 网 段 后 ， 你 必须 要 有 『IP, 
Network, 


Netmask, Broadcast, Default gateway 以 及 DNS 服务 器 的 IPJ 等 等 的 设 
定 值 。 假 


设 我 Linux 主机 的 对 内 IP 为 192.168.100.254 ， 则 在 图 3.2-1 内 的 LAN 
内 的 PC 


之 网 络 相 关 设 定 参数 则 为 : 


DIP: 设 定 为 192.168.100.1~192.168.100.253 ， 但 IP 不 可 重复 ; 


D Netmask: 255.255.255.0 

0D Network: 192.168.100.0、Broadcast: 192.168.100.255 

0 Default Gateway: 192.168.100.254 (路 由 器 的 IP) 

DDNS: 和 暂时 使 用 168.95.1.1 

Tips: 

你 能 有 如 上 图 3.2-1 这 么 多 的 计算 机 来 测试 你 的 服务 器 环境 吗 ? 
当然 不 可 能 ! 那 如 何 达 成 上 述 的 功能 呢 ? 透 过 虚拟 化 技术 啊 ! 乌 哥 
是 以 virtualbox 这 套 软件 来 处 理 整 个 局 域 网络 所 有 主机 的 安装 与 


测试 ， 主 要 虚拟 出 来 的 机 僻 有 www.centos.vbird, clientlinux， 

winxp, win7 这 四 部 ， 要 注意 的 是 ，www.centos.vbird 有 两 张 网 卡 ， 
一 张 为 对 外 联机 的 使 用 bridge 模式 ， 一 张 与 其 他 三 部 主机 联机 的 
请 选择 TintmnetJ ， 这 样 就 能 搞定 你 的 区 网 环境 与 实验 喔 | 

0 

安装 什么 通讯 协议 

目前 网 络 社 会 最 通用 的 通讯 协议 就 是 TCP/IP 了 ! 因此 你 如 果 要 连 上 


Internet ， 


你 的 系统 束 得 要 支持 TCP/IP 才 行 。 但 在 局 域 网 络 内 部 时 ， 事 实 上 还 
可 以 透 过 简单 的 


通讯 协议 来 达到 数据 传输 的 目的 ， 例 如 NetBEUI 就 是 一 个 常见 的 简易 
通讯 协议 。 


在 Linux 系统 当中 ， 只 要 将 网 络 参数 设 定 妥 当 ， 那 么 TCP/IP 就 已 经 被 
启用 了 ， 


所 以 你 不 需要 额外 的 再 安装 其 他 的 通读 协议。 不过， 如 果 你 需要 将 你 
的 Linux 系统 中 


的 硬盘 空间 分 享 给 同 网 域 的 Windows PC 时 ， 那 么 就 需要 额外 的 加 装 
SAMBA 这 个 服务 


妖 软 件 才 行 。 相 关 的 SAMBA 数据 我 们 会 在 后 面 的 草 世 所 及。 反正 不 


管 怎么 说 ， 目 前 


Internet 就 是 经 由 TCP/IP 来 进行 连接 的 ， 而 Linux 本 吴 就 文 持 了 
TCP/IP ， 所 以 不 


需要 额外 的 安装 有 的 没 的 说 ! 


至 于 在 Windows 部 分 殉 比 较 麻 烦 一 点 ， 因 为 在 较 大 型 的 企业 当中 ， 还 
需要 额外 的 


考虑 到 Windows Server 所 提供 的 服务 ， 那 么 在 Windows Clients 端 承 得 
要 相应 的 局 


动 某 些 通讯 协议 才 行 。 一 般 来 说 ， 在 Windows Client 系统 里 面 ， 最 常 
见 的 两 个 通讯 协 


议 束 是 TCP/IP 以 及 NetBEUI 这 两 个 通讯 协议 了 。 如 果 你 只 想 让 
Windows 与 Linux 


能 够 厌 由 网 络 上 的 秀 邻 互通 有 无 ， 那 么 启动 TCP/IP 也 就 够 了 (因为 
SAMBA 是 厌 由 
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NetBIOS over TCP/IP 来 达成 数据 传输 的 ) ， 不 过 ， 也 可 以 同时 启动 
NetBEUI 这 个 通 


讯 协议 就 是 了 。 

3.2.2 Windows 个 人 计算 机 网 络 设 定 范例 

我 们 这 本 书 谈论 的 是 以 Linux 主机 提供 的 服务 器 为 主 ， 所 以 天 于 LAN 
里 面 的 

Windows 我 都 将 他 假设 为 Client， 并 且 不 提供 网 络 服务 ， 所 以 都 先 以 
固定 的 Private 


IP 来 设 定 Windows 操作 系统 ， 如 果 你 的 LAN 有 其 他 的 考虑 ， 那 么 撒 
下 的 设 定 束 看 看 


束 好 。 


我 们 在 Windows 系统 上 所 需要 的 网 络 参数 除了 IP, netmask DNS 之 
外 ， 还 需要 


『 工 作 组 , workgroupJ 与 『 计 算 机 名 称 , Netbios nameJ 等 等 的 设 定 ， 
此 外 ， 我 们 也 


可 以 加 上 LAN 里 面 很 常见 的 NetBIOS (NetBEUD) 这 个 通讯 协议 呐 。 
此 ， 除 非 你 确定 


你 的 网 域内 还 有 其 他 的 工作 站 ， 否则 『 请 只 要 安装 TCP/IP 以 及 
NetBEUI 这 两 个 协议 


忠 好 了 ! J」 安装 太 多 反而 会 有 问题 呢 ! 底下 我 们 假设 你 的 网 络 卡 都 安 
装 好 了 ， 并 以 图 


3.2-1 里 面 那 部 内 部 区 网 的 winxp 主机 为 例 来 介绍 : 
与 网 络 有 关 的 设 定 参 数 : 


0 IP: 192.168.100.20 


oO Netmask: 255.255.255.0 

o DNS: 168.95.1.1 

oO Gateway: 192.168.100.254 
o 工作 组 : vbirdhouse 

o 计算 机 名 称 : winxp 

0 详细 的 设 定 流程 : 


1. 完 到 『 开 始 ==> 『 设 定 」==> 『 控 制 面板 3 ==> 『 网 络 联机 J4==> 
选择 『 区 


域 联机 J 该 项 后 ， 会 出 现 如 下 图 示 : 
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十 区 域 连 狠 状态 加 加 
一 般 、| 支 接 
过 和 
状 能 : 有 限 的 或 治 有 过 和 能 力 
连 御 时间 : 00:11:24 
速度 : 100.0 Mbps 
活动 
已 传送 一 二 和 A 一 ”BB 收 到 
Cb 
封包 : 83 | 0 
内 容 加 
天 并 (Q) 


3.2-2、 区 域 联机 状态 
2. 上 面 画 面 当 中 选择 『 内 容 4 进入 如 下 的 设 定 画面 中 : 
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二 区 域 违 舟 内 容 


一 般 | 准 阶 | 


连 牧 使 用 : 
| EB AMD PCNET Family PCI Ethemet A 充 定 (G).… 


| 下 列 项 目 (O): 


Client for Microsoft Networks 

| File and Printer Sharme for bicrosott Networks 
Qos Packet Scheduler 
Intemet Protocol (TCPAP' 


RR) [REO | CE 
描述 


蕊 得 控 制 通讯 协定 , 尊 队 攀 路 通讯 协定 (TCPHTP) 。 二 是 预 
ep : 提供 个 同 狗 咯 之 间 的 通讯 能 


国 &] 图 | 


器] 连 贸 后 ' 在 通知 区 域内 显示 回 示 CD) 
在 过 个 连 忽 只 有 有 限 连 特 或 况 有 连 忽 能力 时 通知 我 (人 ) 


3.2-3、 区 域 联机 内 容 


3. 接 下 来 ， 在 上 图 中 选择 『 联 机 后 ， 将 图 标 显 示 在 通知 区 域内 4 ， 并 
且 双 击 


『Internet Protocol (TCP/IP)J 项 目 ， 束 会 出 现下 图 。 在 下 图 中 填 上 我 
们 需要 的 


各 项 IP 参数， 然后 再 按 下 确定 束 设 定好 吧 | 
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Internet Protocol (TCPHIPY 内 容 


一 般 | 


区 区 | 


如 果 炮 的 补足 支 接近 项 功能 :您 可 以 取得 自动 指派 的 I 了 座 定 * 否 
则 ' 您 必 编 绚 问 糙 咯 系统 管理 中 正确 的 卫 恕 定 * 
〇 自动 取得 I 了 ?位 址 (OY 
全 合用 下 列 的 卫 位 址 仿 ): 
了 位 址 巴 : | 192 . 168 . 100 . 20 
子粒 路 遮 哇 轿 ): 5 55 9 0 
预 该 闭 道 巴 ): . 168 . 100 . 254 
自动 取得 DNS 伺服 器 位 址 但 ) 
名 使 用 下 列 的 DNS 伺服 器 位 址 双 ): 
惯用 DNS 伺服 器 (2): | 168.95.1.1 区 
其 他 DNS 伺服 器 凶 ): | 
淮 阶 氏 ). 
取消 


3.2-4、 区 域 联 机 TCP/IP 设 定 内 容 


4. 再 来 需要 编辑 你 的 网 络 识别 喔 ! 选择 【开始 4 ==> 『 控 制 面板 J 


==> 双击 『 系 


统 」 之 后 出 现 的 图 标 ， 再 按 下 『 变 更 ] 来 修改 工作 组 与 计算 机 名 称 ! 


输入 正确 之 后 ， 


只 要 重新 局 动 ， 那 么 就 可 以 使 用 局 域 网 络 跑 ! 
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| 激 阶 “| 系统 漫 原 | 自动 更 新 | 速 端 
Windows 使 用 下 列 资 读 在 阐 路 上 识别 您 的 电脑 。 


您 可 以 主 更 ; 
影 又 简 暗 


2. 


二 条 
育 源 的 


电脑 名 簿 愉 ): 
Winxp| 
完整 生 脑 名 硝 : 
winxp. 


成 员 妹 届 
O) 网 域 耳 ): 


包工 作 群 组 CD: 
YBIRDHOUSE 


3.2-5、 区 域 联机 计算 机 名 称 与 工作 组 设 定 内 容 


基本 上 ， Windows 的 网 络 参数 设 定 是 相当 的 简单 的 ! 乌 哥 这 里 仅 介 绍 
修改 IP 与 


相关 网 络 参数 的 方式 而 已 。 未 来 如 果 还 需要 搭配 DHCP 主机 、NAT 
主机 等 等 服务 器 的 


设 定时 ， 会 再 次 的 提醒 用 户 Windows 的 设 定 信 息 喔 ! 尤其 是 SAMBA 
主机 的 设 定 中 ， 


Windows 的 网 络 识别 就 显 的 相当 的 重要 呢 ! 
2002/07/22: 初次 完成 了 局 域 网络 架 设 的 基本 架构 


2003/08/17: 将 整个 文章 重新 修订 ， 移 除 一 些 已 经 在 网 络 基础 里 面谈 
过 的 内 容 ， 并 且 新 增 了 表 头 


的 说 明 。 
2003/08/20: 加 入 课 后 练习 了 。 
2003/09/19: 加 入 参考 用 解答 咯 ! 


2005/05/05: 将 原本 介绍 并 行 线 与 跳 线 的 N-Way 错误 ， 订 正 为 auto 
MDIMDI-x 2006/07/13: 将 旧 的 文章 移动 到 此 处 。 


2006/07/14: 加 入 Linux distribution 的 说 明 ， 并 且 重 新 校 稿 更 新 内 容 ， 
如 布线 部 分 。 


2006/07/15: 取消 Windows 2000, 98 。 
2010/08/16: 将 原本 旧 的 基于 CentOS 4.x 的 版 本 移动 于 此 处 


2010/08/20: 由 于 很 多 数据 与 前 一 草 有 重复 ， 有 些 数据 太 过 老 旧 ， 所 
以 重新 编辑 过 此 文章 。 


2011/07/15: 将 原本 的 基于 CentOS 5.x 的 文章 移动 到 此 处 
3.2-1 了 ! 那 与 服务 器 篇 后 续 所 有 的 章 


2011/07/15: 最 重要 区 
节 都 有 相关 性 喔 ， 
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第 四 瘟 、 连 上 Internet 


最 近 更 新 日 期 : 2011/07/20 


终于 要 来 到 修改 Linux 网 络 参数 的 章节 了 |! 
我 们 知道 主机 要 连 上 Internet 需 


要 一 二 些 正确 的 网 络 参数 设 定 ， 这 这 些 设 定 在 Windows 系统 上 面 的 修改 则 
牛人 


了 。 在 这 一 章 当 中 ， 我 们 则 主要 以 固定 IP 的 设 定 方式 来 修改 Linux 的 
网 络 参 数 ， 同 时 ， 也 会 介绍 如 何 


使 用 ADSL 的 拨 接 方式 来 上 网 ， 此 外 ， 因 为 Cable modem 使 用 者 也 不 
在 少数 ， 所 以 我 们 也 说 明 一 下 Cable 


modem 在 Linux 下 的 设 定 方 式 喔 ! 最 后 ， 由 于 笔记 本 电脑 使 用 者 大 
增 ， 旦 因为 笔记 本 电脑 常 使 用 无 线 


网 络 ， 因 此 本 文 也 加 入 了 无 线 网 络 的 联机 介绍 啊 | 


4.1 Linux 连 上 Internet 前 的 注意 事项 


4.1.1 Linux 的 了 网络 


4.1.2 编译 网 卡 驱 动 程序 (Option) 


环境 ) 


4.2.3 ADSL 坟 


服务 (如 FTP, POP3) 所 遇 到 的 联机 延迟 问 


4.6 本 章 习 题 
4.7 参考 数据 与 延伸 阅读 
4.8 针对 本 文 的 建议 :_http://phorum.vbird.org/viewtopic.php?p=112420 


4.1 Linux 连 上 Internet 前 的 注意 事项 


由 前 面 几 章 的 数据 我 们 知道 ， 想 要 连 上 Intemet 你 得 要 设 定 一 组 合法 
的 IP 参数 


才 可 以 ， 主 要 是 IP Netmask, Gateway, DNS IP 以 及 主机 名 等 。 那 我 们 
也 知道 ， 其 实 


整个 主机 最 重要 的 设 定 ， 束 是 『 移 要 张 动 网 络 卡 上 4 ， 否 则 主机 连 网 络 
卡 都 捉 不 到 时 ， 怎 


么 设 定 卫 参数 都 是 没有 用 的 ， 你 说 是 吧 ! 所 以 属 下 我 们 整 来 谈 一 谈 ， 
你 要 如 何 确 定 


网 络 卡 已 经 彼 扣 到， 而 Linux 主机 的 网 络 参 数 又 该 如 何 设 定 ? 
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4.1.1Linux 的 网 络 卡 


你 怎么 确认 Linux 有 捉 到 网 络 卡 ? Linux 底下 的 网 络 卡 的 名 称 是 啥 ? 让 
我 们 来 了 


解 一 下 吧 ! 

认识 网 络 卡 的 装置 代号 

人 Linux 里 面 的 各 项 装置 几乎 都 是 以 文件 名 来 取代 的 ， 例 如 /dev/hda 
代表 


IDE1 接口 的 第 一 个 master 硬盘 等 等 。 不 过 ， 了 网 络 卡 的 代号 (Network 


Interface Card, NIC) 却 是 以 模块 对 应 朔 置 名 称 来 代 奉 的 ， 而 默认 的 网 
络 卡 代 


号 为 eth0 ， 第 二 张 网 络 卡 则 为 eth1 ， 以 此 类 推 。 
0 关于 网 络 卡 的 模块 ( 张 动 程序 ) 


我 们 知道 网 络 卡 其 实 征 硬件 ， 所 以 当然 需要 核心 文 持 才 能 驱动 他 。 一 
般 来 说 ， 目 


前 新 版 的 Linux distributions 默认 可 以 文 持 的 网 络 卡 心 片 组 数量 已 经 很 
完备 


了 ， 包 括 大 三 的 3COM, Intel 以 及 初 阶 的 RealTek, D-Link 等 网 络 卡 心 
片 都 已 


所 以 使 用 阁 可 以 很 轻易 的 设 定好 他 们 的 网 络 卡 。 不 过 ,万 
小 应 网 


组 开发 商 不 愿意 释 出 开放 源 (Open Source) 的 人 硬件 驱动 程序 ， 
或 者 是 


该 网 络 卡 太 新 了 ， 使 得 Linux 核心 来 不 及 文 持 时 ， 那 么 你 殉 得 要 透 


过 : 


好 让 核心 可 以 文 持 网 络 卡 这 块 硬件 啦 ! 但 是 ， 重 编 核心 或 编译 网 络 卡 
核心 模块 都 


ee 
功 ， 所 以 


万 一 你 的 网 络 卡 真 的 不 被 默认 的 Linux 网 络 芯片 所 支持 ， 那 么 鸟 哥 真 
的 建议 直 


接 换 一 块 被 Linux 文 持 的 网 络 卡 吧 ， 例 如 很 便宜 的 螃 钥 卡 ! 免得 化 了 
太 多 时 间 


在 硬件 确认 上 面 ， 划 不 来 的 ! 和信 


另外 ， 其 实 有 的 时 候 Linux 的 默认 网 络 卡 模块 可 能 无 法 完全 100% 的 
发 挥 网 络 


卡 的 功能 的 ， 所 以 ， 有 的 时 候 你 还 是 得 必须 要 目 行 编译 网 络 卡 的 模块 
才 行 喔 ! 


当然 ， 那 个 网 络 卡 的 模块 束 得 要 目 行 由 网 络 卡 开发 商 的 官方 网 站 下 载 
了 上 不 过 ， 


如 有 果 你 的 网 络 卡 是 目 行 编译 安 六 的， 那么 每 次 重 狐 安 洲 其 他 版 本 的 核 
心 时 ， 你 


都 必须 要 有 目 行 重新 手动 编译 过 该 模块 。 因为 模块 与 核心 是 有 相关 性 的 
啊 ! 


0 观察 核心 所 换 到 的 网 卡 信息 


假设 你 的 网 络 卡 已 经 在 主机 上 面 ， 不 论 是 内 建 的 还 是 目 行 安插 到 PCI 
或 PCI-x 


或 那么 如 何 确认 该 网 络 卡 有 被 核心 捉 到 呢 ? 很 简单 
啊 ! 就 和 和 


用 dmesg 来 查阅 即 可 : 
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[root@www ~1]# dmesg | grep -in eth 

377:e1000: eth0: e1000_probe: Intel(R) PRO/1000 Network Connection 
383:e1000: eth1: e1000_probe: Intel(R) PRO/1000 Network Connection 


418:e1000: ethO NIC Link is Up 1000 Mbps Full Duplex, Flow Control: 
RX 


419:eth0: no IPv6 routers present 


从 上 面 的 第 377 及 383 这 两 行 ， 我 们 可 以 碍 到 这 部 主机 的 两 张 网 络 卡 
都 使 用 模 


块 为 el1000， 而 使 用 的 忆 片 应 该 就 是 Intel 的 网 络 卡 了 。 此 外 ， 这 个 网 
卡 的 速 


度 可 达到 1000Mbps 的 全 双 工 模式 哩 (418 行 ) ! 除了 使 用 dmesg 来 查 
询 核心 


侦 测 硬件 产生 的 信息 外 ， 我 们 也 可 以 透 过 lspci 来 查询 相关 的 设备 忌 
数据 喔 ! 


如 下 所 示 : 


[root@www ~]# lspci | grep -i ethernet 
00:03.0 Ethernet controller: Intel Corporation 82540EM Gigabit 


Ethernet 


Controller (rev 02) 


请 注意 ， 鸟 哥 这 里 使 用 的 是 Virtualbox 仿真 的 那 部 主机 的 环境 (请 参考 
Be 


1.2.2-2) ， 因 此 使 用 的 是 模拟 出 来 的 Intel 网 卡 。 如 采 你 是 使 用 目 己 的 
实际 硬 


件 配 备 安装 的 主机 ， 那 么 应 该 会 看 到 不 同 的 芯片 啦 ! 那 是 正常 的 ! 
0 观察 网 络 卡 的 模块 


从 刚刚 的 dmesg 的 输出 讯 县 中， 我 们 知道 乌 哥 这 部 主机 所 使 用 的 模块 
是 e1000 ， 


那 核心 有 顺 利 的 载 入 了 吗 ? 可 以 利用 lsmod 去 查 碍 看 。 此外， 这 个 模 
块 的 相关 


信息 又 是 如 何 呢 ? 使 用 modinfo 来 查 查 看 吧 ! 
[root@www ~]# lsmod | grep 1000 

e1000 119381 0 <== 确 实 有 载 入 到 核心 中 | 
[root@www ~]# modinfo e1000 


filename: /lib/modules/2.6.32- 
71.29.1.el6.x86_64/kernel/drivers/net/e1000/e1000.ko 


version: 7.3.21-k6-NAPI 
license: GPL 


description: Intel(R) PRO/1000 Network Driver 


上 面 输出 信息 的 重点 在 于 那个 档 名 (filename) 的 部 分 ! 那 一 场 串 的 文 
件 多 目录 ， 


束 古 我 们 驱动 程序 放置 的 主要 目录 所 在 。 得 要 注意 的 是 ， 那 个 


2.6.32-71.29.1.el6.x86_64 是 核心 版 本 ， 因 此 ， 不 同 的 核心 版 本 使 用 的 
驱动 程 


序 其 实 不 一 样 喔 ! 我 们 才 会 一 直 强 调 ， 更 改 核 心 后 ， 你 目 己 编译 的 硬 
件 驱 动 程 


序 束 需要 重新 编译 啦 ! 
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那 你 如 何 知 道 你 的 网 络 卡 卡 号 呢 ? 很 简单 啊 ! 不 管 有 没有 局 动 你 的 网 
络 卡 ， 都 可 


以 使 用 : 【ifconfig eth0 4 来 查询 你 的 网 卡 卡号 。 如 采 你 照 着 上 面 的 
信息 来 


作 ， 结 末 发 现 网 卡 已 经 继 动 了 了， 恭喜 你 ， 准 备 到 下 一 下去 设 定 网 络 
吧 ! 如 采 没 


有 近 到 网 卡 呢 ? 那 就 准备 目 己 编译 网 卡 驱 动 程序 吧 ! 


4.1.2 编译 网 卡 驱 动 程序 (Option) 


一 般 来 说 ， 如 来 没有 特殊 需求 ， 乌 哥 不 是 很 建议 你 目 己 编译 网 络 卡 的 
驱动 程序 ! 为 


哈 ? 因为 想到 每 次 更 狐 核 心 都 得 要 重新 编译 一 次 网 卡 驱 动 程序 ， 交 是 
想 想 都 觉得 烦 ~~ 


所 以 ， 没 有 被 Linux 预 设 核心 文 持 的 网 卡 ， 就 完 丢 着 吧 ! 


Tips: 

鸟 哥 之 前 买 了 一 张 内 建 网 卡 的 主板 ， 该 网 卡 并 没有 被 当时 的 Linux 
预 设 核心 所 支持 ， 所 以 就 得 要 自己 编译 核心 啦 。 因 为 CentOS 很 少 
更 新 核心 ， 所 以 第 一 次 编译 完毕 之 后 就 忘记 有 这 回 事 了 。 等 到 过 了 
数 周 有 新 的 核心 出 现 后 ， 鸟 哥 很 开心 的 自动 升级 核心 ， 然后 远程 进 
行 reboot ， 结 果 呢 ? 没有 网 卡 驱 动 程序 了 啦 ! 我 的 主机 无 法 联网 ， 
得 要 到 主机 前 用 tty 登入 后 才能 进行 编译 一 唤 一 


如 果 你 真 的 很 有 求知 欲 ， 而 且 该 网 卡 的 官网 有 提供 给 Linux 的 驱动 程 
序 原 始 码 ; 或 者 


征 你 很 想 妥 某 些 官网 提供 的 张 动 程序 才 有 的 特殊 功能 ， 又 或 者 十 你 真 
的 很 不 想 要 再 买 一 


张 额外 的 网 卡 。 此 时 ， 束 得 要 重新 编译 网 络 卡 的 驱动 程序 喝 。 


Tips: 
事实 上 ， 如 果 你 要 新 添 购 硬 件 时 ， 请 先 查 阅 一 下 硬件 包装 上 面 是 否 
提 及 文 持 Linux 的 字样 ， 因为 有 些 硬件 厂商 在 推出 新 硬件 时 ， 篆 


常会 漏 掉 Linux 张 动 程序 的 搂 写 。 如 采 包 装 上 面 有 提 到 文 持 的 话 ， 
那么 至 少 你 会 获得 冒 方 网 站 所 提供 的 驱动 程序 原始 码 啊 ! 和信 


因为 我 们 这 里 使 用 的 网 络 卡 是 Intel 的 82540EM Gigabit Ethernet 控制 
心 片 ， 假 设 


你 需要 的 驱动 程序 得 要 由 Intel 官网 取得 最 新 的 有 版 本 ， 而 不 要 使 用 预 设 
的 核心 所 提供 

的 版 本 时 ， 那 你 该 如 何 处 理 呢 ? 请 注意 ， 乌 哥 这 个 小 节 只 是 一 个 艺 例 
人 简介， 不 同 的 厂 


商 推 出 的 驱动 程序 安 狼 方式 都 有 点 不 太一 样 ， 你 得 要 参考 驱动 程序 的 
读 我 档 (READ ME) 


或 相关 档案 来 安 洲 才 行 。 此 外 ， 如 果 默 认 驱 动 程序 已 经 捉 到 了 网 络 
卡 ， 乌 哥 旦 建议 使 

用 预 设 的 驱动 程序 就 好 了 喔 ! 

另外 ， 由 于 编译 程序 需要 编译 程序 以 及 核心 相关 信息 ， 因 此 得 要 预 安 


装 gcc, make， 


kernel-header 等 软件 才 行 。 但 是 我 们 选择 的 安装 模式 为 『basic 
server4 ， 这 些 软 

件 默认 都 没有 安装 的 ， 所 以 你 得 要 移 安 朔 这 些 软件 才 行 。 这 些 软件 可 
以 简单 的 透 过 yum 
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使 用 『yum groupinstall 'Development Tools'J 来 安装 ， 只 可 惜 你 并 没有 
网 络 啊 ! 所 


以 就 得 要 透 过 原本 光盘 一 个 一 个 去 处 理 RPM 属性 相依 的 问题 来 解决 
了 ~ 很 麻烦 的 ~ 不 


然 的 话 ， 就 得 要 透 过 更 改 yum 配置 文件 ， 使 用 本 机 档案 的 类 型 来 取得 
原版 光 副 的 yum 


软件 列表 嗓 ! 乌 哥 这 里 假设 你 已 经 安装 了 所 需要 的 编译 程序 了 ， 接 下 
来 的 动作 是 : 


1. 取得 官方 网 站 的 驱动 程序 : 


再 次 说 明 ， 你 可 以 复制 乌 哥 的 环境 ， 透 过 Virtualbox 的 模拟 而 来 。 我 
们 这 里 使 


用 的 是 Intel 的 网 卡 ， 你 可 以 到 如 下 的 网 站 去 下 载 : 


0 


http:/downloadcenter.,intel.com/SearchResult.aspx?lang=eng&keyw 


ord='e1000-' 


最 后 (2011/07) 下 载 的 版 本 为 8.0.30， 确 实 比 上 个 小 节 提 到 的 版 本 还 要 
新 ! 下 


载 的 文件 名 为 e1000-8.0.30.tar.gz， 乌 哥 将 它 放 置 于 /root 底下 ， 然 后 
准备 


来 处 理 编译 过 程 吧 | 

2. 解压 缩 与 编译 : 

使 用 root 的 映 份 进行 如 下 工作 吧 : 

[root@www ~]# tar -zxvf e1000-8.0.30.tar.gz -C /usr/local/src 
[root@www ~]# cd /usr/local/src/e1000-8.0.30/ 


# 此 时 在 该 目录 下 有 个 README 的 档案 ， 记 得 看 一 看 ， 这 个 档案 内 会 
说 明 很 多 


# 包括 如 何 编译 ， 以 及 这 个 模块 所 文 持 的 必 族 组 哩 ! 
[root@www e1000-8.0.30]# cd src 
[root@wWwww srcl# make install 


最 后 这 个 模块 会 被 编译 完成 且 安 狂放 置 于 如 下 的 档 名 : 


/ib/modules/$(uname 


-rT)/kernel/drivers/net/e1000/e1000.ko。 接 下 来 我 们 得 要 重 载 这 个 新 的 模 
块 


才 行 吻 
3. 模块 之 测试 与 处 理 


由 于 这 个 模块 已 经 被 加 载 啦 ， 所 以 我 们 得 要 先 移 除 旧 的 模块 后 ， 才 能 
够 重 载 这 个 


模块 。 使 用 的 方法 有 点 像 这 样 : 


#1. 先 移 除 已 经 加 载 在 内 存 中 的 旧 模 块 
[root@www ~]# rmmod e1000 


# 此 时 已 经 提 到 的 网 卡 会 整个 消失 不 见 ! 因为 驱动 程序 被 扼 除了 嘛 ! 
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# 2. 加 载 新 模块 ， 并 且 查 阅 一 下 有 没有 捉 到 正确 的 版 本 ! 


[root@www ~]# modprobe e1000 
[root@www ~]# modinfo e1000 


filename: /lib/modules/2.6.32- 
71.29.1.el6.x86_64/kernel/drivers/net/e1000/e1000.ko 


version: 8.0.30-NAPI <== 就 是 这 里 ! 
license: GPL 
description: Intel(R) PRO/1000 Network Driver 


请 目 行 与 前 一 小 市 比 对 一 下 ， 束 会 发 现 真 的 所 到 正确 的 版 本 哆 ! 不 
过 ， 这 个 模块 


在 下 次 新 的 核心 推出 后 就 会 失效 ! 为 什么 呢 ? 因 为 新 核心 会 给 一 个 新 
的 驱动 程 


序 嘛 ! 就 不 是 你 现在 这 个 8.0.30 的 版 本 嘿 。 这 点 还 是 要 再 次 说 明 的 。 
4. 设 定 开 机 自动 启动 网 络 卡 模块 (Option) 


如 琳 你 在 开机 束 能 够 正确 的 取得 这 个 模块 的 话 ， 那 么 你 的 网 卡 束 没有 
问题 啦 ! 这 


个 步骤 是 可 以 略 过 的 。 如 果 你 的 核心 还 是 捉 不 到 网 卡 ， 那 你 可 能 得 要 
目 己 处 理 


一 下 模块 的 对 应 才 行 。 怎 么 处 理 呢 ?很 集 单 ， 在 /etc/modprobe.d/ 目 杂 
下 建立 


一 个 名 为 ether.conf 的 档案 ， 内容 将 模块 与 网 卡 代 号 链接 在 一 块 即 可 ! 
这 样 


处 理 : 


[root@www ~]# vim /etc/modprobe.d/ether.conf 
alias eth0 e1000 

alias eth1 e1000 <== 因 为 乌 哥 有 两 张 网 卡 嘛 ! 
[root@www ~]# Sync; reboot 


为 了 测试 一 下 刚刚 的 设 定 是 否 会 生效 ， 通 常 乌 
动 ， 然 后 开 


人 察 一 下 是 否 有 正确 的 启动 网 络 卡 ， 并 观察 一 下 模块 加 载 
青 况 ， 


如 果 一 切 都 顺利 ， 那 就 太 完美 了 ! 
5. 党 试 设 定 IP 


等 到 一 切 就 绪 之 后 ， 总 得 试看 看 这 样 的 网 络 卡 模块 是 否 可 以 顺利 的 设 
定好 IP 吧 ? 


所 以 我 们 先 手动 给 他 一 个 私有 了 P 看 看 先 : 


[root@www ~]# ifconfig eth0 192.168.1.100 


可 都 会 笑 试 一 次 重新 局 


I 


[root@www ~]# ifconfig 
eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 


inet addr:192.168.1.100 Bcast:192.168.1.255 


Mask:255.255.255.0 
….( 以 下 省 略 )..… 
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嘿嘿 ! 真 的 设 定 妥当 哩 ! 然后 利用 ping 这 个 指令 去 ping 一 下 网 域内 的 
其 他 计 


算 机 ， 看 看 能 不 能 有 啊 应 ， 束 知道 你 的 网 络 卡 是 否 OK 的 啦 ! 通 间 是 
没有 问题 


的 啦 ! 

4.1.3 Linux 网 络 相 天 配置 文件 骏 

我 们 知道 TCP/IP 的 重要 参数 主要 是 : IP, Netmask, Gateway DNS IP ， 
于 

万 不 要 起 记 你 这 部 主机 也 应 该 要 有 主机 名 (hostname)! 此 外 ， 我 们 也 知 

道 IP 的 取得 


有 手动 设 定 、DHCP 处 理 等 。 那 么 这 些 参数 主要 是 写 在 哪些 配置 文 
件 ? 如 何 对 应 呢 ? 帮 


下 惑 让 我 们 来 处 理 一 番 ! 
所 和 需 网 络 
主要 配置 文件 档 名 


DEVICE= 网 卡 的 代号 


BOOTPROTO= 是 否 使 用 
dhcp 
HWADDR= 是 否 加 入 网 卡 
卡号 (MAC) 

IP 

IPADDR= 束 是 IP 地 址 
Netmask 

NETMASK= 只 网 络 屏蔽 
DHCP 与 

啦 
/etc/Sysconfig/network-scripts/ifcfg-eth0 


个 


ONBOOT= 要 不 要 默认 局 
Gateway 

动 此 接口 
GATEWAY= 就 是 通讯 闸 
啦 
NM_CONTROLLED= 额 外 


的 网 管 软件 


乌 哥 建议 取消 这 个 项 

目 ! 
NETWORKING= 要 不 要 有 
网 络 

主机 名 
/etc/sysconfig/network 
NETWORKING_IPV6= 支 
援 IPv6 否 ? 
HOSTNAME= 你 的 主机 名 
DNS IP 

/etc/resolv.conf 
nameserver DNS 的 IP 
私有 IP 

对 应 

/etc/hosts 

私有 也 主机 名 别名 

的 主机 名 


net.giang@hotmail.com 


0 


你 没有 看 错 ， 主 要 需要 修改 的 就 是 这 四 个 档案 而 已 ! 因此 没有 很 困 
难 ! 大 家 都 想 太 多 了 ! 


详细 的 设 定 后 续 小 方 再 来 讲 ， 这 里 先 有 概念 即 可 。 除 此 之 外 ， 还 有 些 
档案 或 许 你 也 应 


该 要 知道 一 下 比较 好 吻 ! 


[| /etc/services 
这 个 档案 则 是 记录 架构 在 TCP/IP 上 面 的 总 总 协议 ， 包 括 http, ftp, ssh， 


telnet 等 等 服务 所 定义 的 port number ， 都 是 这 个 档案 所 规划 出 来 的 。 
如 有 你 


想 要 自 定义 一 个 新 的 协议 与 port 的 对 应 ， 就 得 要 改 这 个 档案 了 ; 


[| /etc/protocols 


这 个 档案 则 是 在 定义 出 IP 封包 协议 的 相关 数据 ， 包 括 ICMP/TCP/UDP 
这 方面 的 


封包 协议 的 定义 等 。 


大 概 知 道上 面 这 几 个 档案 后 ， 未 来 要 修改 网 络 参数 时 ， 那 束 太 简单 
了 ! 至 于 网 络 方 


面 的 启动 指令 的 话 ， 可 以 记得 几 个 简单 的 指令 即 可 喔 ! 
D /etc/init.d/network restart 


这 个 script 最 重要 ! 因为 可 以 一 口气 重新 启动 整个 网 络 的 参数 ! 他 会 
主动 的 


A 的 网 络 配置 文件 ， 所 以 可 以 很 快 的 恢复 系统 默认 的 参数 


DU ifup eth0 (ifdown eth0) 


局 动 或 者 是 关闭 菜 张 网 络 接口 。 可 以 透 过 这 个 简单 的 script 来 处 理 喔 ! 
这 两 


个 script 会 主动 到 /etc/sysconfig/network-scripts/ 目录 下 ， 读 取 适 当 的 
配置 文件 来 处 理 啊 ! (例如 ifcfg-eth0)。 


大 概 你 只 要 只 到 这 些 基本 的 指令 与 档案 ， 哈 哈 ! 网 络 参数 的 设 定 束 太 
简单 啦 ! 不 


过 ， 最 好 你 还 是 要 了 解 shell script ， 比 较 好 ! 因为 可 以 追踪 整个 网 络 的 
设 定 条 件 。 


why ? 这 是 因为 每 个 distributions 的 设 定数 据 可 能 都 不 太 相 同 ， 不 过 却 
都 以 


/etcinit.dnetwork 作为 启动 的 script ， 因 此 ， 你 只 要 了 解 到 该 档案 的 内 


容 ， 人 很 
容易 职 追 踪 得 出 来 你 的 配置 文件 所 需要 的 内 容 呢 ! 对 吧 ! 


另外 ， 新 版 的 CentOS 6.x 还 有 额外 推出 一 个 名 称 为 NetworkManager 的 
软件 机 制 


来 管理 网 络 ， 不 过 ， 乌 如 还 是 比较 喜欢 手工 打造 目 己 的 网 络 环境 ， 所 
以 很 建议 将 该 软 


件 关 闭 呢 ! 还 好 ， 我 们 安装 的 『basic server (第 一 童 的 1.2.2-2) 」 就 这 
么 巧 的 没有 


安装 该 软件 ! 好 佳 在 ~ 人 人 
4.2 连 上 Internet 的 设 定 方法 


在 前 几 章 我 们 就 谈 过 ， 人 台湾 地 区 主要 连 上 因特网 的 方法 有 (1) 学 术 网 
络 、(2)ADSL 


接 与 拨 接 、(3)Cable modem 等 方式 ， 同 时 ， 手 动 设 定 IP 参数 是 很 重要 
的 学 习 ， 因 此 ， 


展 下 的 各 世 中 ， 第 一 节 的 手动 设 定 固定 了 一定 要 做 过 一 次 ! 其 他 的 才 
依照 您 的 环境 


去 设 定 去 学 习 ! 
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此 外 ， 由 于 目前 使 用 Linux notebook 的 使 用 者 大 增 ， 而 Notebook 通常 
是 以 无 线 


网 络 来 联机 的 ， 所 以 乌 哥 在 这 里 也 笑 试 使 用 一 款 无 线 网 络 来 进行 联机 
设 定 。 至 于 传统 


的 56 Kbps 拨 接 则 因为 速度 较 慢 上 且 使 用 度 越 来 越 低 ， 所 以 在 这 里 就 不 


多 做 介绍 了 。 


4.2.1 手动 设 定 固定 IP 参数 (适用 学 术 网 络 、ADSL 固定 制 ) + 五 大 检查 
步 又 


所 谓 的 固定 IP 束 古 指 在 你 的 网 络 参数 当中 ， 你 只 要 输入 既定 的 IP 参数 
印 可 。 那 


么 这 个 既定 的 也 来 自 哪 里 呢 ? 一 般 来 说 ， 他 可 能 来 自 于 : 
D 学 术 网 络 : 由 学 校 单位 直接 给 予 的 一 组 IP 网 络 参数 ; 
0 固定 制 ADSL: 向 ISP 申请 的 一 组 固定 卫 的 网 络 参数 ， 


由 
局 域 


网 络 的 联机 之 用 时 ， 那 么 我 们 的 Linux 当然 也 就 需要 向 企业 的 网 管 人 


册 申 请 一 


组 固定 的 IP 网 络 参 数 哆 ! 


这 样 清楚 吗 ? 也 就 是 说 ， 我 们 取得 的 固定 IP 参数 并 非 一 定 是 public IP 
喔 ! 反 


正 束 是 一 组 可 接受 的 固定 卫 束 是 了 ! 所 以 在 架设 你 的 环境 之 前 ， 请 先 
注意 所 有 网 络 


参数 的 来 源 正 确 性 啊 ! 好 了 ， 那 么 你 的 耻 要 如 何 设 定 呢 ? 移 回 去 翻 翻 
第 三 章 3.2.1 里 


面 的 图 3.2-1， 我 们 对 外 网 卡 (eth0) 的 信息 为 : 


IP: 192.168.1.100 


Netmask: 255.255.255.0 
Gateway: 192.168.1.254 
DNS IP: 168.95.1.1 


Hostname: www.centos.vbird 


那么 要 修 改 的 四 个 档案 与 相关 的 启动 脚本 ， 以 及 重新 启动 后 需要 用 喻 
指令 观察 的 重点 ， 


乌 哥 再 次 的 使 用 一 个 简单 的 表格 来 说 明 ， 你 只 要 记得 这 几 个 表格 内 的 
重要 档案 与 指令 ， 


以 后 在 修改 网 络 参数 时 ， 恕 不 会 出 现 错误 了 ! 看 看 吧 ! 
修改 的 参 

配置 文件 与 重要 局 动 脚本 

观察 结果 的 指令 


数 


ifconfig 

IP 相关 参 /etc/sysconfig/network-scripts/ifcfg-eth0 (IP/Netmask) 
数 

/etc/init.d/network restart 

route -n (gateway) 

DNS 

/etc/resolv.conf 

dig www.google.com 

hostname (主机 名 ) 

/etc/sysconfig/network 

主机 名 

ping $(hostname) 

/etc/hosts 

reboot 
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底下 我 们 就 分 别针 对 上 面 的 各 项 设 定 来 进行 档案 的 重新 修改 哎 ! 
1. IP/Netmask/Gateway 的 设 定 、 局 动 与 观 家 


设 定 网 络 参数 得 要 修改 /etc/sysconfig/network-scripts/ifcfg-eth0， 请 记 
得 ， 


这 个 ifcfg-eth0 与 档案 内 的 DEVICE 名 称 设 定 需 相 同 ， 并 且 ， 在 这 个 档 
案 内 的 


所 有 设 定 ， 基 本 上 就 是 bash 的 变量 设 定 规则 啦 (注意 大 小 写 )! 
[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE="eth0" <== 网 络 卡 代 和 号， 必须 要 ifcfg-eth0 相对 应 


HWADDR="08:00:27:71:85:BD" <== 就 是 网 络 卡 地 址 ， 若 只 有 一 张 网 
卡 ， 可 省 


略 此 项 目 

NM_CONTROLLED="no" <== 不 要 受到 其 他 软件 的 网 络 管理 | 
ONBOOT="yes" <== 是 否 默认 启动 此 接口 的 意思 
BOOTPROTO=none <== 取 得 IP 的 方式 ， 其 实 关键 词 只 有 dhcp， 
手动 可 输入 none 

IPADDR=192.168.1.100 <== 就 是 IP 啊 
NETMASK=255.255.255.0 <== 就 是 子 网 掩 码 
GATEWAY=192.168.1.254 <== 就 是 预 设 路 由 

# 重点 是 上 面 这 几 个 设 定 项 目 ， 底 下 的 则 可 以 省 略 的 嗓 ! 


NETWORK=192.168.1.0 <== 束 是 该 网 段 的 第 一 个 IP， 可 省 略 


BROADCAST=192.168.1.255 <== 就 是 广播 地 址 嘿 ， 可 省 略 
MTU=1500 <== 台 是 最 大 传输 单元 的 设 定 值 ， 大 不 更 改 则 
可 省 略 


请 注意 每 个 变量 (左边 的 英文 ) 都 应 该 要 大 写 ! 
否则 


script 会 误 判 ! 事实 上 马 哥 的 设 定 值 只 有 最 上 面 的 8 个 而 已 ， 其 他 


NETWORK, BROADCAST MTU 乌 哥 都 没有 设 定 喔 ! 至 于 参数 的 说 明 
方面 ，IPADDR， 


NETMASK, NETWORK, BROADCAST 鸟 哥 在 这 里 就 不 再 多 说 ， 要 谈 
的 是 几 个 重要 的 设 


定 值 : 
0 DEVICE: 这 个 设 定 值 后 面 接 的 装置 代号 需要 与 文件 名 (ifcfg-eth0) 


ey 才 行 ! 否则 可 能 会 造成 一 些 猴 置 名 称 找 不 到 的 困 
 。 


o BOOTPROTO: 
局 动 该 网 络 接口 时 ， 使 用 何 种 协议 ?” 如 有 果 是 手动 给 予 IP 

的 环境 ， 请 输入 static 或 none ， 如 果 是 自动 取得 耳 的 时 候 ， 请 输 
入 dhcp (不 要 写 错 字 ， 因 为 这 是 最 重要 的 关键 词 ! ) 

o GATEWAY: 代表 的 是 『 整 个 主机 系统 的 default gateway4 ， 所 以 ， 


设 定 这 个 项 目 时 ， 请 特别 留意 ! 不 要 有 重复 设 定 的 情况 发 生 喔 ! 也 就 
日 3 


是 当 
你 有 ifcfg-eth0, ifcfg-eth1.… 等 多 个 档案 ， 只 要 在 其 中 一 个 档案 设 


定 GATEWAY 即 可 
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o GATEWAYDEV: 如 果 你 不 是 使 用 固定 的 卫 作为 Gateway ， 而 是 使 
用 


网 络 装 置 作为 Gateway (通常 Router 最 党 有 这 样 的 设 定 )， 那 也 可 以 使 


用 GATEWAYDEYV 来 设 定 通讯 六 疼 置 呢 ! 不 过 这 个 设 定 项 目 很 少 使 用 
器 古 了 |! 


0 HWADDR: 这 个 东西 束 古 网 络 卡 的 卡号 了 ! 在 仅 有 一 张 网 卡 的 情况 
Ps 


这 个 设 定 值 没 有 了 哈 功 能 ， 可 以 忽略 他 。 但 如 条 你 的 主机 上 面 有 两 张 一 
模 


一 样 的 网 卡 ， 使 用 的 模块 是 相同 的 。 此 时 ， 你 的 Linux 很 可 能 会 将 
eth0, 


ethl 搞 混 ， 而 造成 你 网 络 设 定 的 困扰 。 如 何 解 决 呢 ? 由 于 MAC 是 直 
接 

写 在 网 卡 上 的 ， 因 此 指定 HWADDR 到 这 个 配置 文件 中 ， 就 可 以 解决 
网 卡 对 

应 代号 的 问题 了 ! 很 方便 吧 


设 定 完毕 之 后 ， 现 在 让 我 们 来 重新 启动 网 络 接口 吧 ! 这 样 才能 更 新 整 
个 网 络 参数 


嘛 |! 

[root@www ~]# /etc/init.d/network restart 

Shutting down interface eth0: [ OK ] <== 先天 闭 界 面 
Shutting down loopback interface: [OK | 

Bringing up loopback interface: [ OK ] <== 再 开局 界面 
Bringing up interface eth0: [OK ] 


# 针对 这 部 主机 的 所 有 网 络 接口 (包含 10) 与 通讯 曾 进行 重新 启动 ， 所 
以 网 


络 会 停顿 再 开 
这 样 就 处 理 完毕 嘿 ， 那 接 下 来 当然 就 是 观察 看 看 哎 ! 
# 检查 一 : 当然 是 要 先 察 看 IP 参数 对 否 ， 重 点 是 IP 与 Netmask 啦 ! 


[root@www ~]# ifconfig eth0 

eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.1.100 Bcast:192.168.1.255 

Mask:255.255.255.0 

inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:655 errors:0 dropped:0 overruns:0 frame:0 

TX packets:468 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:61350 (59.9 KiB) TX bytes:68722 (67.1 KiB) 


# 有 出 现 上 头 那 个 IP 的 数据 才 是 正确 的 局 动 ; 特别 注意 inet addr 与 
Mask 


项 目 


# 这 里 如 宁 没 有 成 功 ， 得 回去 看 看 配置 文件 有 没有 错误 ， 然 后 再 重新 


network 


restart | 
# 检查 二 : 检查 一 下 你 的 路 由 设 定 是 否 正确 


[root@www ~]# route -n 
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Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 

Use lface 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 

0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 

0 eth0 

# 重点 束 是 上 面 的 特殊 字体! 前 面 的 0.0.0.0 代表 预 设 路 由 的 设 定 值 ! 
# 检查 二 : 测试 看 看 与 路 由 需 之 间 是 否 能 够 联机 成 功 呢 ! 
[root@www ~]# ping -c 3 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=2.08 ms 
64 bytes from 192.168.1.254: icmp_sed=2 ttl=64 time=0.309 ms 
64 bytes from 192.168.1.254: icmp_sed=3 ttl=64 time=0.216 ms 
--- 192.168.1.254 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2004ms 


rtt min/avg/max/mdev = 0.216/0.871/2.088/0.861 ms 


# 注意 啊 ! 有 出 现世 才 是 正确 的 啊 应 ! 如 果 出 现 『 Destination Host 
Unreachable J 


# 表示 没有 成 功 的 联机 到 你 的 GATEWAY 那 表 示 出 问题 啦 ! 赶紧 检查 
有 无 设 定 


划 误 。 


要 注意 ， 第 三 个 检查 如 果 失 败 ， 可 能 要 看 你 的 路 由 咒 是 否 已 经 关闭 ? 
或 者 在 你 的 


switch/hub 是 否 有 问题 ， 或 者 是 你 的 网 络 线 是 否 错误 ， 还 古 说 你 的 或 路 
由 瑚 的 


防火 墙 设 定 销 误 了 ? 要 记得 去 解决 吗 ! 这 三 个 检查 做 完 而 且 都 成 功 之 
后 :到 


你 的 TCP/IP 参数 设 定 已 经 完毕 了 ! 这 表示 你 可 以 使 用 IP 上 网 啦 ! 只 
征 还 不 


能 够 使 用 主机 名 上 网 承 是 了 。 接 下 来 就 是 要 设 定 DNS 史 ! 
2. DNS 服务 器 的 IP 设 定 与 观察 


这 个 /etc/resolv.conf 很 重要 啦 ! 他 会 影响 到 你 是 否 可 以 查询 到 主机 名 与 
IP 


的 对 应 喔 ! 通常 如 下 的 设 定 束 OK 了 | 


[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 
nameserver 139.175.10.20 


我 们 以 中 华电 信和 与 SeedNet 在 南部 的 DNS 服务 器 之 IP 作为 设 定 的 方 
式 ! 请 注 


意 一 下 ， 如 有 果 你 不 知道 你 的 最 接近 的 DNS 服务 器 的 卫 ， 那 么 直接 输 
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nameserver 168.95.1.1 这 个 中 华电 信 的 DNS 主机 即 可 ! 不 过 如 果 你 公司 
内 部 


有 设 定 防止 DNS 的 要 求 封包 的 防火 墙 规 则 时 ， 那 么 你 残 得 要 请 教 喧 公 
司 的 网 管 


单位 告知 你 的 DNS IP 设 定 啦 ! 然后 赶紧 测试 看 看 : 

# 检查 四 :看 看 DNS 是 否 顺利 运作 了 呢 ? 很 重要 的 测试 喔 ! 
[root@www ~|# dig www.google.com 

…( 前 面 省 略 )..… 

;; QUESTION SECTION: 

;www.google.com. IN A 

;; ANSWER SECTION: 

www.google.com. 428539 IN CNAME www.l.google.com. 
www.l.google.com. 122 IN A 74.125.71.106 

…( 中 间 省 略 )..… 

;; Query time: 30 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) <== 这 里 的 项 目 也 很 重要 ! 
;; WHEN: Mon Jul 18 01:26:50 2011 


;; MSG SIZE rcvd: 284 


上 面 的 输出 有 两 个 重点 ， 一 个 是 问题 查询 的 是 www.google.com 的 A 
(Address) 


参数 ， 并 且 从 回答 (Answer) 里 面 得 到 我 们 所 需 的 IP 参数 。 最 后 面 一 段 
的 


Server 项 目 非 常 重要 ! 你 得 要 看 是 否 与 你 的 设 定 相 同 的 那 部 DNS 服务 
TP 让 


行 ! 以 上 面 输出 为 例 ， 乌 哥 使 用 中 华电 信和 的 DNS 服务 絮 ， 所 以 束 出 现 
168.95.1.1 的 IP 地 址 哆 。 
3. 主机 名 的 修改 、 启 动 与 观察 


修改 主机 名 束 得 要 改 /etc/sysconfig/network 以 及 /etc/hosts 这 两 个 档 
区 


站 


这 两 个 档案 的 内 容 叉 和 商 单 的 要 命 喔 ! 
[root@www ~]# vim /etc/sysconfig/network 
NETWORKING=yes 
HOSTNAME=www.centos.vbird 
[root@www ~]# vim /etc/hosts 
192.168.1.100 www.centos.vbird 


# 特别 注意 ， 这 个 档案 的 原本 内 容 不 要 删除 ! 只 要 新 增 额外 的 数据 即 
可 ! 


修改 完毕 之 后 要 顺利 启动 的 话 ， 得 要 重新 局 动 才 可 以 。 为 什么 需要 重 
新 局 动 呢 ? 


因为 系统 已 经 有 非常 多 的 服务 启动 了 ， 这 些 服务 如 果 需 要 主机 名 ， 都 
年 到 这 个 


(0 而 我 们 知道 配置 文件 更 新 过 后 ， 服 务 都 得 要 重新 启动 
行 。 因 


此 ， 已 经 启动 而 且 有 读 到 这 个 档案 的 服务 ， 就 得 要 重 者 局 动 啊 ! 真 厅 
烦 一 因此 ， 
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0 


最 简单 的 方法 ， 就 是 重新 启动 。 但 重 开机 之 前 还 需要 进行 一 项 工作 ， 
人 否则， 你 


的 系统 开机 会 花 掉 很 多 时 间 喔 ! 


[root@www ~]# hostname 

localhost.localdomain 

# 还 是 默认 值 ， 尚 未 更 新 成 功 ! 我 们 还 得 要 进行 底下 的 动作 ! 
# 检查 五 : 

看 看 你 的 主机 名 有 没有 对 应 的 IP 呢 ? 没有 的 话 ， 

开机 流程 会 很 慢 ! 


[root@www ~]# ping -c 2 www.centos.vbird 

PING www.centos.vbird (192.168.1.100) 56(84) bytes of data. 

64 bytes from www.centos.vbird (192.168.1.100): icmp_seq=1 ttl=64 
time=0.015 ms 

64 bytes from www.centos.vbird (192.168.1.100): icmp_seq=2 ttl=64 


time=0.028 ms 


--- WWW.Centos.vbird ping statistics --- 

2 packets transmitted, 2 received, 0% packet loss, time 1000ms 

rtt min/avg/max/mdev = 0.015/0.021/0.028/0.008 ms 

# 因为 我 们 有 设 定 /etc/hosts 规定 www.centos.vbird 的 IP ， 
人 


要 | 


上 面 的 信息 中 ， 检 查 的 内 容 总 共有 五 个 步 又 ， 这 五 个 步骤 每 一 步 都 要 
成 功 后 才能 够 继续 


往 下 处 理 喔 ! 至 于 最 重要 的 一 点 ， 当 你 修改 过 /etc/sysconfig/network 里 
面 的 


HOSTNAME 后 ， 务必 要 重新 启动 (reboob0。 但 是 重新 启动 之 前 ， 请 务 
必 [『 ping 主机 


名 J 且 得 到 time 的 响应 才 行 ! 


4.2.2 自动 取得 IP 参数 (DHCP 方法 ， 适 用 Cable modem、 了 IP 分 享 需 的 
环境 ) 


可 自动 下 得 IP 的 环境 是 怎么 回 事 啊 ? 不 是 很 简单 吗 ? 当 你 在 P 分 享 器 
后 头 包 


主机 在 设 定时 ， 不 是 都 会 选择 『 自 动 取得 IP 」 吗 ? 那 就 是 可 自动 取得 
IP 的 环境 啦 


那么 这 个 自动 取得 是 怎么 回 事 啊 ? 也 不 难 了 解 啦 ， 其 实 就 是 『 有 一 部 
主机 提供 DHCP 服 


务 给 整个 网 域内 的 计算 机 J 就 是 了 ! 例如 卫 分 享 器 就 可 能 是 一 部 
DHCP 主机 。 那 么 


DHCP 是 啥 ? 他 是 : Dynamic Host Configuration Protocol 的 简写 ， 顾 名 
思 义 ， 他 可 


以 了 动态 的 调整 主机 的 网 络 参数 4 的 意思 。 详 细 的 DHCP 功能 我 们 会 
在 第 十 二 章 说 明 的 。 


好 了 ， 那 么 这 个 方法 适合 哪些 联机 的 方式 呢 ? 大 致 有 这 些 : 
D Cable Modem: 就 是 使 用 电视 缆 线 进行 网 络 回路 联机 的 方式 啊 ! 


DADSL 多 耳 的 DHCP 制 : 殉 乌 哥 所 知 ， SeedNet 有 推出 一 种 项 目 ， 
可 以 


让 ADSL 用 户 以 DHCP 的 方式 来 自动 取得 IP ， 不 需要 挨 接 。 那 使 用 的 
也 是 这 种 


方法 ! 
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0 IP 分 享 器 或 NAT 有 架设 DHCP 服务 时 : 当 你 的 主机 位 于 卫 分 享 器 
的 后 端 ， 


或 者 是 你 的 LAN 当中 有 NAT 主机 且 NAT 主机 有 架设 DHCP 服务 时 ， 
那 取得 


IP 的 方法 也 是 这 样 喔 ! 


IP 的 主机 名 设 定 (第 三 步 又 )， 至 于 IP 参 
与 


DNS 则 不 需要 额外 设 定 ， 仪 需要 修改 ifcfg-eth0 即 可 喔 ! 这 样 处 理 
吧 . 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE=eth0 

HWADDR="08:00:27:71:85:BD" 

NM CONTROLLED="no" 

ONBOOT=yes 

BOOTPROTO=dhcp 


没 盖 你 嘿 ! 只 要 这 几 个 项 目 即 可 ， 其 他 的 都 给 他 批注 圾 掉 ! 尤其 是 那 
个 GATEWAY 一 


定 不 能 设 定 ! 避免 互相 干扰 ! 然后 给 他 重新 启动 网 络 : 

[root@www ~]# /etc/init.d/network restart 

Shutting down interface eth0: [ OK ] <== 先天 闭 界 面 

Shutting down loopback interface: [OK | 

Bringing up loopback interface: [ OK ] <== 再 开局 界面 

Bringing up interface eth0: [OK ] 

Determining IP information for eth0.. [ OK ] <== 重要 ! 是 DHCP 的 特 
氮 ! 

# 你 可 以 透 过 最 后 一 行 去 判断 我 们 是 个 有 透 过 DHCP 协议 取得 IP! 


我 们 局 域 网 络 内 的 IP 分 享 器 或 DHCP 主机， 就 会 立刻 帮 你 的 Linux 主 
机 做 好 网 络 参 


数 的 规划 ， 包括 卫 参数 与 GATEWAY 等 ， 就 通通 设 定 妥 当 啦 ! 很 方便 
也 很 简单 吧 ! 


Tips: 

基本 上 ，/etc/resolv.conf 预 设 会 被 DHCP 所 修改 过 ， 因 此 你 不 需 
要 修改 /etc/resolv.conf。 其 至 连 主机 名 都 会 被 DHCP 所 修订 。 不 
过 ， 如 果 你 有 特殊 需求 ， 那 么 /etc/sysconfig/network 以 及 
/etc/hosts 请 目 行 修改 正确 哆 ! 

4.2.3 ADSL 挨 接 上 网 (适用 台湾 ADSL 挨 接 以 及 光纤 到 大 楼 ) 


终于 来 到 台湾 最 热门 的 ADSL 拨 接 上 网 的 介绍 啦 ! 来 谈 一 谈 如 何在 
Linux 上 找 接 


上 网吧! 要 拨 接 上 网 时 ， 可 以 使 用 rp-pppoe 这 套 软件 来 帮忙 (和 注 1) ， 
所 以 ， 你 必须 


要 确认 你 的 Linux distributions 上 面 已 经 存在 这 个 玩意 儿 了 1! CentOS 本 
身 束 含有 


rp-pppoe ， 请 使 用 原版 光 副 ， 或 者 是 使 用 yum 来 进行 安装 吧 ! 
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[root@www ~]# mount /dev/cdrom /mnt 
[root@www ~]# cd /mnt/Packages 
[root@www ~]# rpm -ivh rp-pppoe* ppp* 


[root@www ~]# rpm -gq rp-pppoe 


rp-pppoe-3.10-8.el6.x86_64 <== 你 瞧 瞧 ! 确实 已 经 安装 喔 ! 


当然 ， 很 多 distributions 都 已 经 将 拨 接 这 个 动作 归 类 到 疼 形 接口 里 面 去 
了 ， 所 以 可 


能 没有 提供 rp-pppoe 这 个 吃 号 ， 没 关系 ， 你 可 以 到 撒 下 的 网 站 去 取得 
世 


LD http:/www.roaringpenguin.com/pppoe/ 


然后 再 自行 手动 安装 即 可 。 如 何 安 装 的 过 程 乌 哥 在 这 里 就 不 谈 了 ， 请 
目 行 前 往 基础 


all 音节 查阅 相关 资料 吧 。 另 外 请 注意 ， 虽 然 整 个 联 


篇 的 原始 码 与 Tarb 
机 是 由 主机 的 

以 太 网 络 卡 连接 到 ADSL 调制 解 调 右上 ， 然 后 再 透 过 电话 线路 联机 人 到 
ISP 的 机 房 去 ， 


最 后 在 主机 上 以 rp-pppoe 拨 接 达成 联机 。 但 是 rp-pppoe 使 用 的 是 Point 


to Point 


(ppp) over Ethernet 的 点 对 点 协议 所 产生 的 网 络 接口 ， 因 此 当 你 顺利 的 
挨 接 成 功 之 后 ， 


会 多 产生 一 个 实体 网 络 接口 了 ppp0J 喔 ! 


而 由 于 ppp0 是 架构 在 以 太 网 络 卡 上 的 ， 你 必须 要 有 以 太 网 卡 ， 同 时 ， 
即使 挨 接 成 


功 后 ， 你 也 不 能 将 没有 用 到 的 eth0 关闭 喔 ! 注意 注意 ! 因此 ， 拨 接 成 
功 后 束 会 有 : 


0 内 部 循环 测试 用 的 lo 接口 ; 
吕 网 络 卡 eth0 这 个 接口 ; 
0 拨 接 之 后 产生 的 经 由 ISP 对 外 连接 的 ppp0 接口 。 


虽然 ppp0 是 架构 在 以 太 网 卡 上 面 的 ， 但 上 头 这 三 个 接口 在 使 用 上 是 完 
全 独立 的 ， 


互 不 相干 ， 所 以 关于 eth0 的 使 用 上 ， 你 就 可 以 这 样 轧 
口 这 张 网 络 卡 (假设 是 eth0) 有 接 内 部 网 络 (LAN): 


举例 来 说 ， 的 图 3.1-1 所 示 ， 也 就 是 说 ， 
你 的 ppp0 


可 以 连 上 Intemet ， 但 十 内 网 则 使 用 eth0 来 跟 其 他 内 部 主机 联机 时 ， 
四 作 


你 的 IP 设 定 参数 : /etc/sysconfig/network-scripts/ifcfg-eth0 应 该 要 给 


0 过 eth0 来 进行 联机 啊 ! 所 以 


这 样 设 定 : 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE=eth0 

BOOTPROTO=none 

NM CONTROLLED=no 

IPADDR=192.168.1.100 

NETMASK=255.255.255.0 
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ONBOOT=yes 


并 请 记得 一 件 事情 ， 那 就 是 『 千 万 不 要 有 GATEWAY 的 设 定 ! J 
因为 ppp0 拨 


接 成 功 后 ， ISP 会 主动 的 给 予 ppp0 接口 一 个 可 以 连 上 Internet 的 
default 


gateway ， 如 果 你 又 设 定 另 一 个 default gateway ， 两 个 网 天 可 能 会 造成 
你 的 


网 络 不 通 喔 ! 
0 这 部 主机 仅 有 连接 ADSL 调制 解 调 融 ， 并 没有 内 部 网 域 : 


如 果 这 部 Linux 主机 是 直接 连接 到 ADSL 调制 解 调 器 上 头 ， 并 没有 任 
何 内 部 主 


催 与其 喘 仙 ， 也 就 是 说 ， 你 的 eh0 有 没有 下 都 没 有 关系 时 ， 那 么 上 面 
9 设 定 


当中 的 那个 下 ONBOOT=yes 4 直接 改 成 ONBOOT=no 」 束 好 了 ! 那 
拨 接 不 会 有 


问题 吗 ? 没关系 啊 ， 因 为 你 拨 接 局 动 ppp0 时 ， 系 统 会 主动 的 唤醒 eth0 
器 


》 二 
是 eth0 不 会 有 IP 信息 就 是 了 。 


至 于 其 他 的 档案 请 参考 4.2.1 
然 啦 ， 拨 


接 之 前 ， 请 确认 你 的 ADSL 调制 解 调 紫 (小 乌龟) 已 经 与 主机 联机 受 
当 ， 也 取得 账号 与 


密码 ， 也 安装 好 了 rp-pppoe ， 然 后 就 米 处 理 吧 ! 
1. 设 定 连 接 到 ADSL 调制 解 调 器 那 张 网 卡 ( 暂 订 为 eth0) 


说 实在 的 ， 乌 哥 比 较 建议 将 内 外 网 域 分 的 清 请 楚楚 比较 好 ， 所 以 ， 通 
党 我 部 十 主 


a 张 对 内 一 张 对 外 ， 对 外 的 那 张 网 卡 预 设 是 不 
百 ZJ 


(ONBOOT=no)。 考 虑 到 你 可 能 仅 有 一 张 网 卡 ， 那 么 乌 哥 也 会 给 你 建 
以 ;直接 给 


eth0 一 个 私有 了 P 接口 吧 ! 设 定 束 如 同 本 市 稍 早 提 人 到 的 那样 哆 ! 
2. 设 定 拨 接 的 账号 与 密码 


好 了 ， 那 么 开始 来 设 定 你 的 账号 与 密码 吧 ! 这 个 动作 只 要 在 第 一 次 建 
立 账号 / 密 


码 时 处 理 即 可 ， 未 来 除非 账号 密码 改变 了 ， 否则 这 个 动作 都 不 需要 重 
新 处 理 啦 ! 


(留意 一 下 ， 拨 接 的 设 定 指令 有 改变 喔 ! 与 之 前 的 adsl-setup 不 一 样 
喝 ! 仔细 


看 看 ! ) 


[root@www ~]# pppoe-setup 

Welcome to the PPPoE client setup. First, I will run some checks on 
your System to make sure the PPPoE client is installed properly... 
LOGIN NAME (从 ISP 处 取得 的 账号 填 入 处 ) 

Enter your Login Name (default root): T1234567 


# 注意 啊 ! 这 个 账号 名 称 是 ISP 给 的 ， 其 中 如 果 是 SeedNet ， 输 入 如 
SS 


# 如 果 是 Hinet 的 话 ， 就 得 要 输入 username@hinet.net， 后 面 的 主机 名 
也 要 


与 。 


net.qiang@Ohotmail.com 

INTERFACE (ADSL 调制 解 调 器 所 接 的 网 卡 代 号 ) 

Enter the Ethernet interface connected to the PPPoE modem 

For Solaris, this is likely to be something like /dewhme0. 

For Linux, it will be ethX, where 'X' is a number. 

(default eth0): eth0 

Enter the demand value (default no): no 

DNS ( 驶 填 入 ISP 处 取得 的 DNS 号 码 吧 ) 

Enter the DNS information here: 168.95.1.1 

Enter the secondary DNS server address here: <== 若 无 第 二 部 就 按 enter 


PASSWORD (从 ISP 处 取得 的 密码 啊 ! ) 


Please enter your Password: <== 输 入 密码 两 次 ， 屏 幕 不 会 有 星 号 * 喔 ! 
Please re-enter your Password: 


USERCTRL (要 不 要 让 一 般 用 户 启动 与 关闭 ? 最 好 是 不 要 ! ) 


Please enter 'yes' (three letters, lower-case.) if you want to allow 


normal user to start or stop DSL connection (default yes): no 


FIREWALLING (防火 墙 方面 ， 先 取消 ， 用 目 己 未 来 设 定 的 ) 


The firewall choices are: 
0 - NONE: This script will not set any firewall rules. You are 


responsible 


for ensuring the security of your machine. You are STRONGLY 
recommended to use Some kind of firewall rules. 
1-STANDALONE: Appropriate for a basic stand-alone web-surfing 
Workstation 


2-MASQUERADE: Appropriate for a machine acting as an Internet 
gateway 


foraLAN 

Choose a type of firewall (0-2): 0 

Start this connection at boot time (要 不 要 开机 立即 局 动 拨 接 程序 ? ) 
Do you want to start this connection at boot time? 
Please enter no or yes (default no):yes 

** Summary of what you entered ** 

Ethernet Interface: eth0 

User name: T1234567 

Activate-on-demand: No 

Primary DNS: 168.95.1.1 

Firewalling: NONE 

User Control: no 

net.giang@hotmail.com 


Accept these settings and adjust configuration files (y/n)? y 


Adjusting /etc/sysconfig/network-scripts/ifcfg-ppp0 

Adjusting /etc/resolv.conf 

(But first backing it up to /etc/resolv.contf.bak) 

Adjusting /etc/ppp/chap-secrets and /etc/ppp/pap-secrets 

(But first backing it up to /etc/ppp/chap-secrets.bak) 

(But first backing it up to /etc/ppp/pap-secrets.bak) 

# 上 面具 有 特殊 字体 的 档案 主要 功能 是 : 

# ifcfg-ppp0 : 亦 即 是 ppp0 这 个 网 络 接口 的 配置 文件 案 ; 

.0 : 这 个 档案 会 被 备份 后 ， 然 后 以 刚刚 我 们 上 面 输入 的 DNS 


据 取代 ; 
# pap-secrets, chap-secrets: 我 们 输入 的 密码 就 放 在 这 里 ! 


这 样 设 定 就 成 功 啦 ! 很 简单 吧 ! 唯一 需要 注意 的 是 在 上 面 的 username 
那个 地 方 ， 


千 万 注意 ， 因为 hinet 与 seednet 的 设 定 是 不 一 样 的 ! 千 万 小 心 呢 ! 否 


则 会 


无 法 过 上 线 哟 ! 此 外 ， 由 于 我 们 在 未 来 还 会 有 firewall 的 建 置 ， 所 以 这 
里 不 


太 需 要 使 用 到 防火 墙 啦 ! 否则 也 可 能 无 法 连 上 Intemet 哟 ! 另外 ， 注 意 
一 下 ， 


一 般 挨 接 需要 的 喘 份 认证 机 制 透 过 的 是 chap pap( 注 2) ， 在 Ip-pppoe 


忱 


套 软件 中 ， 束 将 两 种 认证 机 制 所 需 的 数据 通通 记录 下 来 啦 ! 那 束 是 


chap-secrets, 
pap-secrets， 你 可 以 分 别 察看 两 个 档案 的 内 容 ， 残 知道 那 是 啥 吃 吃 了 ! 


3. 透 过 adsl-start, pppoe-start 或 network restart 开始 拨 接 上 网 


局 动 ADSL 的 方法 很 多 ， 通 常 乌 哥 都 是 使 用 /etc/init.d/network restart 即 


可 处 理 ! 不 过 ， 如 采 发 生 一 些 不 明 的 错误 ， 也 可 以 使 用 pppoe-stop 天 
闭 后 再 


以 pppoe-start 立即 启动 拨 接 试看 看 。 


通 闸 比较 容易 出 问题 的 地 方 在 于 便 件 的 联机 情况 ， 请 先 确认 所 有 的 人 硬 
件 联 机 没有 


问题 喔 ! 通常 ， 如 果 你 使 用 小 乌龟 (ATU-R) 时 ， 请 使 用 跳 线 连接 网 络 
让 与 ATU-Rs 


另外 一 个 容易 出 错 的 地 方 在 于 输入 的 账号 与 密码 ， 账号 与 密码 都 是 你 
的 ISP 给 


你 的 ， 并 且 注 意 大 小 写 ( 可 以 到 /etc/ppp/{chap,pap}-secrets 察看 一 下 是 
否 设 


定 错误 ? ) 
4. 开始 检查 的 步骤 : 


上 面 的 步骤 搞定 就 可 以 连 上 Internet 了 。 如 果 担 心 设 定 方面 有 问题 ， 可 


手动 设 定 IP 的 那个 小 下 的 五 个 步 又 去 检查 看 看 ， 指令 分 别 是 : 


[root@www ~]# ifconfig 


[root@www ~]# route -n 


[root@www ~]#ping GW 的 IP 
[root@www ~]# dig www.google.com 
[root@www ~]# hostname 
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0 


比较 特殊 的 是 ， 因 为 ADSL 鬼 接 起 透 过 点 对 点 (ppp) 协议 ， 所 谓 的 点 对 
点 ， 融 


是 你 的 ppp0 直接 连接 到 ISP 的 某 个 点 (IP) ， 所 以 ， 理 论 上 ，ppp0 是 
个 独 


立 的 IP ， 并 没有 子 网 ! 因此 ， 当 你 察看 ppp0 的 网 络 参 数 时 ， 他 会 变 
成 这 样 : 


[root@www ~]# ifconfig ppp0 

ppp0 Link encap:Point-to-Point Protocol 
inet addr:111.255.69.90 P-t-P:168.95.98.254 
Mask:255.255.255.255 


UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 
Metric:1 


RX packets:59 errors:0 dropped:0 overruns:0 frame:0 
TX packets:59 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:3 


RX bytes:7155 (6.9 KiB) TX bytes:8630 (8.4 KiB) 


如 上 所 示 ， 那 个 inet addr 就 是 你 的 IP ， 而 P-t-P 就 是 Gateway 的 意思 
啦 ! 


你 也 会 看 到 ， Mask 是 255.255.255.255 哩 ! 没有 子 网 晓 ! 要 仔细 看 清 
楚 哩 | 


5. 取消 投 接 功能 (Option) 


如 果 你 明明 没有 ADSL 联机 ， 但 是 却 作 了 上 面 的 动作 ， 那 么 得 要 注意 


次 重新 局 动 网 络 都 会 花 很 多 时 间 在 侦 测 ADSL 调制 解 调 器 上 。 所 以 
哆 ， 我 们 得 要 


修改 ppp0 的 配置 文件 才 行 。 动 作 很 简单 ， 将 


/etc/sysconfig/network-scripts/ifcfg-ppp0 内 的 ONBOOT 改 成 no， 然后 
进 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ppp0 
DEVICE=ppp0 

ONBOOT=no 

…( 其 他 省 上 略 )..… 

[root@www ~]# chkconfig pppoe-server off 


很 快 的 ， 这 样 你 整 已 经 做 好 ADSL 拨 接 上 网 的 动作 了 ! 很 快乐 吧 ! 但 
是 不 要 起 记 了 ， 你 


的 主机 若 还 没有 更 新 (update) 系统 ， 仆 怕 资 安 方面 会 有 些 问 题 哩 ! 所 
以 ,赶紧 往 下 两 


个 章节 读 读 去 ! 


4.3 无 线 网 络 -- 以 笔记 本 电脑 为 例 


除了 使 用 实体 RJ-45 线路 来 连接 网 络 之 外 ， 由 于 现在 笔记 本 电脑 潭 渐 
广 为 使 用 ， 


此 在 笔记 本 电脑 上 面 的 无 线 网 络 (Wireless Local Area Network， 
WLAN) 也 越 来 越 
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ps p 
NM AP ”ADSL 数据 机 


重要 哆 ~~ 和 针对 无 线 网 络 所 提出 的 标准 中 ， 早 期 是 IEEE 802.11b / 802.11g 


Rs 


较为 重要 ， 


其 中 802.11g 这 个 标准 的 传输 速度 已 经 可 以 达到 54Mbps 的 水 平 。 不 
过 ， 近 期 以 来 还 


有 新 的 标准 ， 那 就 是 802.1ln ( 注 3) ， 这 个 标准 的 理论 传输 速度 甚至 可 
达 300Mbps 哩 ! 


所 以 哆 ， 我 们 也 得 稍微 介绍 一 下 无 线 网 络 啦 1! 


Tips: 
无 线 网 络 的 机 制 非常 多 ， 我 们 现在 常 听 到 的 主要 有 Wi-Fi (可 想 成 
是 802.11 相关 标准 ) 以 及 WiMAX (802.16, 注 4) 等 ， 在 底下 我 

们 主要 介绍 的 是 目前 使 用 较 广 泛 的 Wi-Fi 相关 无 线 网 卡 喔 ! 可 不 要 
搞 错 嚼 

4.3.1 无 线 网 络 所 需要 的 硬件 : AP、 无 线 网 卡 


我 们 知道 在 RJ-45 的 以 太 网 络 联机 环境 中 ， 以 switch/hub 以 及 网 络 卡 与 
网 络 线 


最 重要 ， 该 架构 中 主要 以 switch/hub 串 接 所 有 的 网 络 设备 。 那 么 在 无 
线 网 络 中 ， 当 然 


也 需要 一 个 接收 讯号 的 装置 ， 那 就 是 无 线 基 地 人 台 (Wireless Access Point， 
简称 AP) 


了 ! 另 一 个 装置 当然 吏 是 安装 在 计算 机 主机 上 面 的 无 线 网 卡 鹃 ! 


其 实 无 线 基 地 合 本 吴 就 是 个 IP 分享 器 了 ， 他 本 身 会 有 两 个 接口 ， 一 个 
可 以 与 外 部 


的 IP 做 沟通 ， 另 外 一 个 则 是 作为 LAN 内 部 其 他 主机 的 GATEWAY 
史 ! 那 其 他 主机 上 面 


只 要 安装 了 无 线 网 卡 ， 并 且 顺 利 的 连 上 AP 后 ， 自 然 束 可 以 透 过 AP 来 
连 上 Internet 


啦 ! 上 整个 传输 的 情况 可 以 用 下 图 来 示意 : 
图 4.3-1、 无 线 网 络 的 联机 图 标 


在 上 图 中 ， 我 们 假设 PC A 与 PC B 这 两 部 主机 都 有 安装 无 线 网 卡 ， 
此 他 们 可 以 


扫 瞄 到 局 域 网 络 内 的 AP 存在 ， 所 以 可 以 透 过 这 个 AP 来 连 上 Internet 
啊 。 在 不 考虑 


内 部 LAN 联机 的 情况 下 ，AP 如 何 连 上 Internet 呢 ? 虽然 每 部 AP 的 控 
制 接口 都 不 相 


同 ， 不 过 绝 大 部 分 的 AP 都 是 提供 Web 接口 来 设 定 的 ， 因 此 你 可 以 参 
考 每 部 AP 的 说 


明 书 来 进行 设 定 ， 在 这 里 乌 哥 殉 不 多 说 了 。 
乌 哥 融 以 手边 有 的 设备 来 说 明 这 个 项 目 ， 使 用 的 设备 如 下 : 
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DAP: TP-Link (TL-WR941ND) 
0 USB 的 无 线 网 卡 : D-Link (DWA-140)， 使 用 RT3070sta 驱动 程序 


比较 凄惨 的 是 ，CentOS 6.x 预 设 不 支持 DWA-140 这 个 USB 的 无 线 网 
卡 ， 因 此 原 


本 我 们 还 得 要 自行 手动 下 载 USB 无 线 网 卡 的 驱动 程序 才 行 ! 更 怪 的 
和 是， 我 们 的 核心 侦 


测 到 的 模块 是 rt2870sta， 但 实际 上 该 硬件 使 用 的 是 rt3070sta 模块 ... 为 
本 这 用 


搞 了 乌 哥 两 、 三 天 的 时 间 去 解决 问题 .还 好 ， 由 世界 上 热心 的 网 友 回 报 
支持 Linux 的 


无 线 网 卡 网 站 说 明 ， 发 现 这 只 USB 是 支持 Linux 的 喔 ! 如 下 网 址 所 
示 。 而 且 ， 已 经 有 


公司 将 这 个 网 卡 编译 成 CentOS 6.x 可 以 使 用 的 RPM 档案 咖 ! 相关 网 址 


有 
0 网 友 们 热心 提供 : 


D Ralink 宜 网 的 下 载 处 :_http:/www.ralinktech.comy/support.php?s=2 
乌 哥 最 终 由 上 面 第 二 个 网 址 下 载 的 两 个 档案 是 : 


kmod-rt3070sta-2.5.0.1-2.el6.elrepo.x86_64.rpm, 


rt2870-firmware-22-1.el6.elrepo.noarch.rpm。 乌 哥 将 他 放置 于 /root 发 
下 ， 等 一 


下 再 来 安装 。 

Tips: 

这 张 USB 无 线 网 卡 让 乌 哥 搞 到 一 个 头 两 个 大 ! 基本 上 ，Linux 核心 
预 设 不 支持 的 设备 ， 建 议 不 要 购买 啦 ! 否则 很 难处 理 ! 鸟 哥 觉 得 这 
个 DWA-140 感觉 就 是 张 恶 魔 卡 ~~ 好 怪 一 好 难 搞 .. 


4.3.2 关于 AP 的 设 定 : 网 络 安全 方面 


如 果 你 留心 一 下 图 4.3-1 ， 那 么 殉 可 以 发 现 一 件 事 情 ， 那 吏 是 : 上 如 采 


AP 不 设 


定 任何 联机 限制 ， 那 任何 拥有 无 线 网 卡 的 主机 都 可 以 透 过 这 个 AP 连接 


上 你 的 LAN 4 ， 


要 知道 ， 通 常 我 们 都 会 认为 LAN 是 信任 网 域 ， 所 以 内 部 是 没有 防火 墙 
的 ， 亦 即 是 不 设 


防 的 状态 ， 呵 呵 ! 如 果 刚 好 有 人 拿 着 笔记 本 电脑 经 过 你 的 AP 可 以 接 
收 讯号 的 范围 ， 


那么 他 就 可 以 轻易 的 透 过 你 的 AP 连接 上 你 的 LAN ， 并 且 可 以 透 过 你 
的 AP 连 上 


Internet ， 如 果 他 刚好 是 个 喜欢 搞 破 坏 的 cracker ， 哈哈 ! 那么 当 他 使 
用 你 的 AP 去 


攻击 别人 时 ， 最 后 被 发 现 的 跳板 古 谁 ?当然 是 你 的 AP! 那 是 谁 会 吃 上 
家 司 ” 够 清楚 了 


吧 ? 而 且 你 内 部 主机 的 数据 也 很 有 可 能 被 镭 取 啊 ! 


所 以 啦 ，『 无 线 网 络 的 安全 性 一 定 是 具有 很 大 的 漏洞 的 1 ， 没 办 法 ， 
因为 无 线 网 


络 的 传输 并 不 是 透 过 实体 的 网 络 线 ， 而 是 透 过 无 线 讯号 ， 实 体 网 络 线 
很 好 控制 ， 无 线 讯 


号 你 如 何 侦 测 啊 ? 对 吧 ! 因此 ， 请 你 务必 在 你 的 AP 上 面 进 行 好 联机 
的 限制 设 定 ， 


般 可 以 这 样 做 限制 的 : 
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口 在 AP 上面 使 用 网 卡 卡号 (MAC) 来 作为 是 否 可 以 存 取 AP 的 限制 : 


如 此 一 来 ， 就 只 有 你 允许 的 网 络 卡 才能 够 存 取 你 的 AP ， 当 然 会 安全 不 
少 。 不 过 

这 个 方法 有 个 问题 ， 那 就 是 当 有 其 他 主机 想 要 透 过 这 个 AP 联机 时 ， 
你 就 得 要 


手动 的 登入 AP 去 进行 MAC 的 设 定 ， 在 经 第 有 变动 性 狠 置 的 环境 中 
(例如 公司 


行 号 或 学 校 )， 这 个 方法 比较 矿 烦 ~ 
0 设 定 你 的 AP 联机 加 密 机 制 与 密 铀 : 


男 一 个 比较 可 行 的 办 法 就 是 设 定 联机 时 所 需要 的 验证 密 角 ! 这 个 密 钥 
不 但 可 以 在 


网 络 联机 的 数据 当中 加 审 ， 使 得 即使 你 的 数据 被 窍 听 ， 对 方 也 是 仅 能 
得 到 一 堆 


乱码 ， 同 时 由 于 client 端 也 需要 知道 密 钥 并 且 在 联机 阶段 输入 密 铀 ， 
因此 也 


可 以 被 用 来 限制 可 联机 的 用 户 啊 ! 


当然 ， 上 面 两 种 方法 你 可 以 同时 设 定 ， 亦 即 不 但 需要 联机 的 密 钥 ， 而 
且 在 AP 处 也 


设 定 能 够 存 取 的 MAC 网 卡 ， 嘿嘿 ! 这 样 一 来 ， 就 更 安全 的 多 了 ( 注 5) 
。 压 下 让 我 们 来 


介绍 一 下 AP 里 面 经 常 要 了 解 的 数据 ， 那 就 是 ESSID/SSID 嗓 ! 


品 


关于 ESSID/SSID : 


想 一 想 ， 如 条 你 有 两 部 AP 在 同一 个 局 域 网 络 内 ， 那 么 请 问 一 下 ， 当 你 
的 无 线 网 卡 

在 上 网 时 ， 他 会 透 过 哪 一 个 AP 联机 出 去 呢 ? 很 困扰 ， 对 吧 ! 其 实 每 部 
AP 都 会 有 一 个 


联机 的 名 字 ， 那 就 是 SSID 或 ESSID， 这 个 SSID 可 以 提供 给 client 
端 ， 当 client 


端 需要 进行 无 线 联 机 时 ， 他 必须 要 说 明 他 要 利用 哪 一 部 AP ， 那 个 
ESSID 就 是 那 时 需 


要 输入 的 数据 了 ! 在 乌 哥 的 案例 当中 ， 我 将 我 的 AP 设 定 为 vbird_tsai 
1 


且 给 予 一 个 密 钥 密码 ， 设 定 的 方法 如 同 下 图 所 示 : 
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TP-LINK 


产品 状 能 
快速 安装 靖 址 
Qss 

和 狗 路 恒定 
乱 扩 条 路 


- " 请 您 选择 正确 的 地 区 ， 
- 乱入 抹 路 加 客 发 定 不 正 碎 的 谈 定 在 某 些 国家 
-无 久 薪 路 MAC 位 址 控制 2 


- 无 御 拉 路 进 阶 悚 定 蜂 省 : 目 动 


- 巨 儿 手中 久 计 间 好 模式 : | 恒 用 11bmn 混 合 模式 "| 
DHCP 和 伺服 器 频道 窒 度 : 自动 要 


通 强 埠 等 向 (NAT) 最 高 上 传 速率 : 300Mbps 豆 
安全 性 起 定 


未 成 年 子女 上 手 管 理 3 


撞 路 使 用 壮 限 规则 管理 
固定 路 由 这 竺 用 「 无 锦 泣 路 名 征 ( 


肠 食 答 理 厂 各 用 WDSj 址 接 


ARP 狮 定 


MN CE 赃 存 | 
图 4.3-2、 无 线 网 络 AP 的 SSID 设 定 项 目 


如 上 图 ， 在 登入 了 AP 的 设 定 项 目 后 ， 依 序 (1) 先 选择 无 线 网 络 里 面 的 
[无线 网 络 


设 定 」， 然 后 在 右边 的 窗口 当中 (2) 填 写 正确 的 SSID 号 码 ， 然 后 按 下 
(3) 储 存 即 可 。 


之 后 就 是 密码 项 目 啦 ! 密码 项 目的 设 定 画面 如 下 : 
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薪 路 吹 定 


pe C_ WPAWPA2 
-无 加 草 路 商定 版 本 : 自 勒 以 控 = 
加 密 方 式 。 。 | 自 甘 洁 控 -| 
- 无 加 抹 路 MAC 位 址 控 和 A' Radius 何 服 露 有 位 址 : | 
-无 斩 抽 鹭 迭 阶 疏 定 Radius 向 服 吉 使 用 通 讲 埃 : [1 引 2 ”( 访 图 : 1.65535 ,0 代表 祯 股 通讯 埃 1812) 
人 无 线 欧 路 入 计 站 于 Radius 密 三: 
DHCP 何 服 器 租金 访 更 新 温 则 : [0 (以 黎 计算 ,最 小 值 况 30，0 代 表 不 更 新 ) 
通 筷 你 等 向 (NAT) ] 
去 全 性 届 定 @ WPA-PSKWPA2-PSK 
区 
未 筷 年 子女 上 朝 管 理 Ee 和 - 
盾 踏 使 用 村 限 规则 管理 
加 密 方式 : AES - 
回 定 路 由 
a / PSK 金 篇 ( 密 三}: 789aaa 
ARP 困 证 ( 炮 可 以 验 入 8.63 位 的 ASCIRI0.9IA-Z1a- 避 哆 8.54 位 的 16 进 位 码 10-9UA-F13- 仙 
DDNS 受 定 组 金 纺 更 新 油 期 : 。 [0 以 秒 计 算 ， 最 小 着 并 30，0 代 表 不 更 新 ) 


系 鱼 工具 


图 4.3-3、 无 线 网 络 AP 的 密 钥 设 定 项 目 


我 们 先 选择 (1) 无 线 网 络 加 蜜 设 定 ， 然 后 在 右边 窗口 (2) 点 选 WPA- 
PSK/WPA2-PSK 


的 加 密 方式 ， 然 后 (3) 输 入 加 密 的 密 钥 长 度 ， 乌 哥 这 里 填写 的 算是 简单 
到 爆炸 的 密码 ， 


小 朋友 不 要 学 喔 ! 填 完 后 按 下 储存 即 可 。 这 个 时 候 我 们 就 会 有 的 下 两 
个 数据 : 


LD SSID: vbird_tsai 


0 密 钥 密码 : 123456789aaa 


0 AP 设 定 整 到 此 为 止 ， 如 果 您 的 设 趾 有 不 同 的 地 
， 请 目 行 查 


询 您 AP 的 操作 手册 吻 ! 
4.3.3 利用 无 线 网 卡 开 始 联机 


无 线 网 卡 有 很 多 模式 ， 马 哥 选 择 的 是 USB 无 线 网 卡 ， 所 以 想 要 知道 有 
没有 所 到 这 


张 网 卡 ， 束 得 要 使 用 lsusb 来 检查 ， 如 采 核 心 预 设 不 文 择 ， 还 得 要 目 行 
编译 驱动 程序 


才 行 ! 如 前 所 述 ， 我 们 的 驱动 程序 已 经 捉 在 /root 底下 了 ! 
1. 检查 无 线 网 卡 的 硬件 装置 : 
使 用 USB 无 线 网 卡 的 检查 方式 如 下 : 


[root@www ~]# lsusb 

Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub 
net.giang@hotmail.com 

Bus 001 Device 003: ID 07d1:3c0a D-Link System DWA-140 RangeBooster 
N Adapter(rev.B2) [Ralink RT2870] 

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 

# 是 有 所 到 的 ! 只 是 ， 有 加 载 吗 ? 不 知道 呢 ! 继续 往 下 检查 看 看 ! 

2. 察看 模块 与 相对 应 的 网 卡 代 号 : (modinfo 与 iwconfig) 
知道 核心 侦 测 到 这 张 网 卡 ， 但 是 能 不 能 正确 的 加 载 模块 呢 ? 来 瞧 瞧 : 


[root@www ~]# iwconfig 


]o no wireless extensions. 


eth0 no wireless extensions. 


要 出 现 名 为 wlan0 之 类 的 网 卡 才 是 有 提 到 喔 ! 所 以 没有 加 载 正确 模块 
六 


因为 没有 加 载 正 确 的 驱动 程序 ， 现 在 让 我 们 来 安装 刚刚 下 载 的 RPM 驱 
动 程序 吧 ! 


请 先 将 USB 拔 出 来 ， 然后 再 安装 RPM 档案 。 安 装 的 方法 不 要 说 你 也 
记 了 ! 


[root@www ~]# rpm -ivh kmod-rt3070sta* rt2870-firmware* 
# 这 个 动作 会 进行 很 入， 似乎 程序 在 侦 测 硬件 的 样子 ! 

# 这 个 吃 吃 做 完 之 后 ， 请 将 USB 网 卡 插入 USB 播 槽 吧 ! 
[root@www ~]# iwconfig 

lo no wireless extensions. 

eth0 no wireless extensions. 

ra0 Ralink STA 


这 个 iwconfig 是 用 在 作为 无 线 网 络 设 定之 用 的 一 个 指令 ， 与 ifconfig 类 
似 ! 


不 过 ， 当 我 们 使 用 iwconfig 时 ， 如 采 有 发 现 上 述 的 特殊 字体 ， 那 殉 代 
表 该 网 络 


的 是 无 线 网 卡 的 意思 啊 ! 虽然 有 时 你 会 看 到 无 线 网 卡 为 wlan0 


代号 ， 不 过 这 张 网 卡 却 使 用 ra0 作为 代号 ， 插 有 趣 的 ! 


3. 利用 iwlist 侦 测 AP : 


好 了 ， 接 下 来 要 干 嘛 ? 当然 征 看 看 我 们 的 无 线 网 卡 是 否 能 够 找到 AP 
啊 ! 所 以 ， 


目 完 我 们 要 局 动 无 线 网 卡 ， 束 利用 ifconfig 即 可 : 
[root@www ~]# ifconfig ra0 up 


局 动 网 卡 后 才能 以 这 个 网 卡 来 搜寻 整个 区 域内 的 无 线 基地 台 啊 ! 接 下 
来 > .县 楼 使 


用 iwlist 来 使 用 这 个 无 线 网 卡 搜寻 看 看 吧 ! 
net.giang@hotmail.com 

[root@www ~]# iwlist ra0 scan 

ra0 Scan completed : 

Cell 01 - Address: 74:EA:3A:C9:EE:1A 
Protocol:802.11b/g/n 

ESSID:"vbird_tsai" 

Mode:Managed 

Frequency:2.437 GHz (Channel 6) 
Quality=100/100 Signal level=-45 dBm Noise 
level=-92 dBm 

Encryption key:on 

Bit Rates:54 Mb/s 

IE: WPA Version 1 


Group Cipher : CCMP 


Pairwise Ciphers (1) : CCMP 
Authentication Suites (1) : PSK 
IE: IEEE 802.11i/WPA2 Version 1 
Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 
Authentication Suites (1) : PSK 
…( 压 下 省 略 )..… 


从 二 而 可 以 有 到 (0 这 个 无 线 AP 的 协议 ， 并 且 也 能 够 知道 ESSID 的 
5 号 是 


没 错 的 ! 当然 啦 ，(3) 连 加 密 的 机 制 是 WPA2-PSK 也 是 能 够 得 知 的 ! 这 
与 前 一 小 


节 的 AP 设 定 是 相符 合 的 ! (4) 使 用 的 无 线 频 道 是 6 号 ， 接 下 来 呢 ? 玖 
得 要 去 修 


改 配置 文件 ， 这 部 份 很 麻烦 ， 请 参考 如 下 的 网 页 来 设 定 : 


[root@www ~]# ifconfig ra0 down && rmmod rt3070sta 
[root@www ~]# vim /etc/Wireless/RT2870STA/RT2870STA .dat 
Default 

CountryRegion=5 

CountryRegionABand=7 


CountryCode=TW <== 台 湾 的 国 码 代号 ! 


ChannelGeography=1 

SSID=vbird_tsai <== 你 的 AP 的 ESSID 喔 ! 
NetworkType=Infra 

WirelessMode=9 <== 与 无 线 AP 文 持 的 协议 有 关 ! 
参考 上 述 网 址 说 明 

Channel=6 <== 与 CountryRegion 及 侦 测 到 的 频道 有 关 的 设 
定 ! 

.…( 中 间 省 略 ).…. 

net.giang@hotmail.com 

AuthMode=WPAPSK <== 我 们 的 AP 提供 的 认证 模式 
EncrypType=AES <== 传 送 认 证 码 的 加 密 机 制 啊 ! 
WPAPSK="123456780aaa" <== 和 密 角 密码! 最 好 用 双 引 号 括 起 来 较 佳 ! 
.…( 底 下 省 略 ).… 


# 乌 哥 实际 有 修改 的 ， 束 征 上 面 有 特别 说 明 的 地 方 ， 其 余 的 地 方 都 保留 
默认 值 


# 更 奇怪 的 是 ， 每 次 ifconfig ra0 down 后 ， 这 个 档案 会 莫名 其 妙 的 修改 


@_@ 
[root@www ~]# modprobe rt3070sta && ifconfig ra0 up 


[root@www ~]# iwcontfig ra0 


ra0 Ralink STA ESSID:"vbird tsai”" Nickname:"RT2870STA" 
Mode:Auto Frequency=2.437 GHz Access Point: 
74:EA:3A:C9:EE:1A 

Bit Rate=1 Mb/s 

RTS thr:off Fragment thr:off 

Encryption key:off 

Link Quality=100/100 Signal level:-37 dBm Noise level:-37 
dBm 

Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 


Tx excessive retries:0 Invalid misc:0 Missed beacon:0 


如 琳 顺 利 出 现 上 面 的 数据 ， 那 就 表示 你 的 无 线 网 卡 已 经 与 AP 接 上 线 了 
一 再 来 则 


是 设 定 网 络 卡 的 配置 文件 咖 ! 和 人 人 
4. 设 定 网 络 卡 配置 文件 (ifcfg-ethn) 
因为 我 们 的 网 络 卡 使 用 的 代号 是 ra0， 所 以 也 是 需要 在 


/etc/sysconfig/network-scripts 设 定好 相对 应 的 档案 才 行 啊 ! 而 由 于 我 们 
的 


这 块 卡其 实 征 无 线 网 卡 ， 所 以 很 多 设 定 值 都 与 原本 的 以 太 网 络 卡 不 
同 ， 详 细 的 


各 项 变量 设 定 你 可 以 目 行 参考 一 下 撒 下 的 档案 ; 


0 /etc/sysconfig/network-scripts/ifup-wireless 


至 于 我 的 网 络 卡 设 定 是 这 样 的 : 

[root@www ~]# cd /etc/sysconfig/network-scripts 
[root@www network-scripts]# vim ifcfg-ra0 

DEVICE=ra0 

BOOTPROTO=dhcp 

ONBOOT=no <== 若 需 要 每 次 都 自动 启动 ， 改 成 yes 即 可 ! 
ESSID=vbird_tsai 
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RATE=54M <== 可 以 严格 指定 传输 的 速率 ， 要 与 上 面 iwconfig 相同 ， 
单位 


b/s 


要 注意 的 是 那个 ONBOOT=no 的 设 定 ， 如 果 你 想 要 每 次 开机 时 无 线 ， 
网 卡 都 会 自 


动 启动 ， 那 就 将 他 设 定 为 yes 吧 ! 否则 就 设 定 为 no 哆 ! 要 启动 再 以 
ifup ra0 


来 局 动 即 可 ! 呼 呼 ! 到 此 为 止 ， 你 的 无 线 网 卡 已 经 可 以 顺利 的 给 他 局 
动 了 喔 ! 


很 快乐 吧 ! 和信 

Tips: 

其 实 上 面 那 个 配置 文件 的 内 容 都 是 在 规划 出 iwconfig 的 参数 而 
已 ， 所 以 你 除了 可 以 查阅 ifup-wireless 的 内 容 外 ， 可 以 man 
iwconfig ， 

会 知道 的 更 详细 喔 ! 而 最 重要 的 参数 当然 吏 是 ESSID 及 

KEY 鹃 ! 和 和 

5. 局 动 与 观察 无 线 网 卡 

要 局 动 束 用 ifup wlan0 来 局 动 ， 很 商 单 啦 ! 要 观察 束 用 iwconfig 及 


ifconfig 


分 别 观察 ， 拭 下 你 目 己 瞧 瞧 束 好 啊 ! 和信 


[root@www ~]# ifup ra0 
Determining IP information for ra0... done. 


整个 流程 就 是 这 么 简单 喔 ! 一 般 来 说 ， 目 前 比较 常见 的 笔记 本 电脑 内 
建 的 Intel 无 线 


网 络 模块 (Centrino) 适用 于 Linux 的 ipw2200/ipw21000 模块 ， 所 以 设 定 


快 ! 因为 CentOS 6.x 预 设 就 有 文 持 ， 你 不 必 重 新 安装 无 线 网 卡 驱动 程 
序 ! 那 直接 透 


过 上 述 的 方式 来 处 理 你 的 无 线 网 络 即 可 ! 很 快速 又 方便 吧 ! 本 章 结尾 
的 参考 货 料 处 ， 乌 


哥 还 是 列 出 许多 与 无 线 网 卡 有 天 的 连结 ， 你 可 以 目 行 前 往 查 阅 与 你 的 
无 线 网 卡 有 关 的 信 


息 喔 ( 注 6) 1 人 人 
4.4 第 见 问题 说 明 


其 实 这 个 小 节 也 很 重要 的 ! 因为 可 以 让 你 在 念 完 理论 后 ， 了 解 一 下 如 
何 利用 那些 概 


你 的 网 络 设 定 问题 咀 ! 属 下 我 们 束 针 对 几 个 闸 见 的 问题 来 说 
说 看 吧 ! 


4.4.1 内 部 网 域 使 用 某 些 联机 服务 (如 FTP POP3) 所 遇 到 的 联机 延迟 问题 
net.giang@hotmail.com 


你 或 许 曾经 昕 过 这 样 的 问题 ，『 我 在 我 的 内 部 区 域 网 域内 有 几 部 计算 
机 ， 这 几 部 


计算 机 明明 都 是 在 同一 个 网 域 之 内 ， 而 且 系统 通通 没有 问题 ， 为 什么 
我 使 用 pop3 或 者 


是 ftp 连 上 我 的 Linux 主机 会 停顿 好 久 才 连 上 ? 但 是 连 上 之 后 ， 速 度 就 
又 恢复 正常 ! J 


由 于 网 络 在 联机 时 ， 两 部 主机 之 间 会 互相 询问 对 方 的 主机 名 配合 的 人 P 
， 以 确认 对 


方 的 身份 。 在 目前 的 因特网 上 面 ， 我 们 大 多 使 用 Domain Name System 
(DNS) 系统 做 


为 主机 名 与 卫 对 应 的 查询 ， 那 就 是 我 们 在 上 面 提 到 的 /etc/resolv.conf 
档案 内 设 定 


的 IP 由 来 ， 如果 没 有 指定 正确 的 DNS IP 的 话 ， 那 么 我 们 就 无 法 查询 
到 主机 名 与 IP 


的 对 应 了 。 


公开 的 因特网 可 以 这 样 设 定 ， 但 是 如 果 有 是 我 们 内 部 网 域 的 私有 卫 主机 
呢 ? 因为 


是 私有 IP 的 主机 ， 所 以 当然 无 法 使 用 /etc/resolv.conf 的 设 定 来 查询 到 
这 部 主机 的 


名 称 啊 ! 那 怎么 办 ? 要 知道 ， 如 果 两 部 主机 之 间 无 法 查询 到 正确 的 主 
机 名 与 IP 的 对 


以 ， 那么 将 『 可 能 4 发 生 持 续 查 询 主 机 名 对 应 的 动作 ， 这 个 动作 一 般 
需要 持续 30-60 秒 ， 


因此 ， 你 的 该 次 联机 将 会 持续 检查 主机 名 30 秒 钟 ， 也 就 会 造成 奇怪 的 
delay 的 情况 。 


这 个 问题 最 常 发 生 在 内 部 的 LAN ， 例 如 使 用 192.168.1.1 的 主机 联机 到 


192.168.1.2 的 主机 。 这 个 问题 虽然 可 以 透 过 修改 软件 的 设 定 来 略 过 主 
机 名 的 检查 ， 


但 是 绝 大 多 数 的 软件 都 是 默认 局 用 这 个 机 制 的 ， 因 此 ， 内 部 主机 『 老 
征 联机 时 期 很 慢 ， 


联机 成 功 后 速度 就 会 恢复 正常 | 时 ， 通 常 就 是 这 个 问题 啦 ! 尤其 是 在 
FTP 及 POP3 等 


网 络 联机 软件 上 最 稼 见 。 


那么 如 何 避 过 这 个 情况 ? 最 简单 的 方法 束 是 『 给 予 内 部 的 主机 每 部 主 
机 一 个 名 称 与 


IP 的 对 应 」 即 可 。 举 例 来 说 ， 我 们 知道 每 部 主机 都 有 一 个 主机 名 为 
localhost ， 对 应 


到 127.0.0.1 ， 为 什么 呢 ? 因为 这 个 127.0.0.1 与 localhost 的 对 应 就 被 写 
| 


/etc/hosts 内 嘛 ! 当 我 们 需要 主机 名 与 卫 的 对 应 时 ， 系 统 就 会 先 到 
/etc/hosts 找 


寻 对 应 的 设 定 值 ， 如 果 找 不 到 ， 才 会 使 用 /etc/resolv.conf 的 设 定 去 因 特 
网 找 。 这 


样 说 ， 你 明白 了 吧 ? 也 就 是 说 ， 只 要 修改 了 /etc/hosts， 加 入 每 部 主机 
与 IP 的 对 应 ， 


束 能 够 加 快 主机 名 的 检查 嗓 | 
了 解 了 吗 ? 所 以 说 ， 你 束 要 将 你 的 私有 了 P 的 计算 机 与 计算 机 名 称 写 入 


人 小口 、 


/etc/hosts 当中 了 ! 这 也 是 为 哈 我 们 在 主机 名 设 定 的 地 方 ， 特 别 强 调 第 


五 个 检查 步 又 


的 缘故 。 我 们 来 看 一 看 /etc/hosts 原本 的 设 定 内 容 吧 ! 


[root@www ~]# cat /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 

127.0.0.1 localhost.localdomain localhost 

# 主机 的 IP 主机 的 名 称 主机 的 别名 


在 上 面 的 情况 中 很 容易 开发 现 了 设 定 的 方法 了 吧 ! 很 商 单 吧 ! 没 错 ! 
那 就 是 IP 对 应 主 


机 名 啦 ! 那么 现在 知道 为 什么 我 们 给 他 ping localhost 的 时 候 ， 地 址 会 
与 记 


127.0.0.1 了 吧 ! 那 惑 是 写 在 这 个 档案 中 的 啦 ! 而 且 localhost 那 一 行 不 
能 拿 掉 吻 ! 


否则 系统 的 某 些 服 务 可 能 融会 无 法 被 司 动 ! 好 了 ! 那么 将 我 局 域 网 络 
内 的 所 有 的 计算 机 
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IP 都 给 他 写 进 去 ! 并 且 ， 每 一 部 给 他 取 一 个 你 喜欢 的 名 字 ， 即 使 与 
client 的 计算 机 


名 称 设 定 不 同 也 没关系 啦 ! 以 乌 哥 为 例 ， 如 琳 我 还 额外 加 设 了 DHCP 
的 时 候 ， 那 么 我 


就 干脆 将 所 有 的 C Class 的 所 有 网 段 全 部 给 他 写 入 /etc/hosts 当中 ， 有 点 
像 展 下 这 


样 : 

[root@www ~]# vim /etc/hosts 

# Do not remove the following line, or various programs 
# that require network functionality will fail. 

127.0.0.1 localhost.localdomain localhost 

192.168.1.1 linux001 

192.168.1.2 linux002 


192.168.1.3 linux003 


192.168.1.254 linux254 


如 此 一 来 ， 不 论 我 哪 一 部 计算 机 连 上 来 ， 不 论 是 在 同一 个 网 段 的 哪 一 
个 IP ， 我 都 可 


以 很 快速 的 追查 到 ! 嘿嘿 ! 那么 区 内 网 络 互 连 的 时 候 ， 束 不 会 多 等 个 
好 几时 秒 钟 虽 ! 


4.4.2 网 址 列 无 法 解析 问题 


很 多 朋友 和 常 问 的 一 个 问题 『 喷 ! 我 可 以 拨 接 上 网 了 ， 也 可 以 ping 到 奇 
摩 雅虎 的 也 ， 


但 为 何 就 是 无 法 直接 以 网 址 连 上 Internet 呢 ! J 嘿 ! 被 气 死 ! 前 面 不 是 
一 直 强 调 那 


个 DNS 解析 的 问题 吗 ? 对 啦 ! 殉 是 名 称 解 析 不 对 图 ! 赶快 改 一 下 


/etc/resolv.conf 这 
人 
168.95.1.1 及 Seednet 的 139.175.10.20 虽 ! 例如 底下 的 范例 (这 个 范例 就 
可 以 照抄 

TA): 

[root@www ~]# vi /etc/resolv.conf 

nameserver 168.95.1.1 

nameserver 139.175.10.20 


朋友 们 第 第 会 在 这 个 地 方 写 错 ， 因 为 很 多 书 上 都 说 这 里 要 设 定 成 为 
NAT 主机 的 IP ， 


那 根 本 就 古 不 对 的 ! 你 应 该 要 将 所 有 管理 的 计算 机 内 ， 关 于 DNS 的 设 
定 都 直接 使 用 上 


面 的 设 定 值 即 可 ! 除非 你 的 上 层 环境 有 使 用 防火 墙 ， 那 才 另 外 考虑 ! 


4.4.3 预 设 路 由 的 问题 
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记得 我 们 在 前 两 章 提 到 的 网 络 基础 当中 ， 不 是 讲 了 很 多 预 设 路 由 
(default 


gateway) 相关 的 说 明 吗 ? 预 设 路 由 通 季 仅 有 一 个 ， 用 来 做 为 同一 网 域 
的 其 他 主机 传递 


非 本 网 域 的 封包 网 天。 但 我 们 也 知道 在 每 个 网 络 配置 文件 案 


(/etc/sysconfig/network-scripts/ifcfg-ethx) 内 部 都 可 以 指定 『 GATEWAY 


J 


参数 ， 知 这 个 参数 重复 设 定 的话 ， 那 可 殉 厅 烦 啦 ! 


举例 来 说 ， 你 的 ifcfg-eth0 用 来 做 为 内 部 网 域 的 沟通 ， 所 以 你 在 该 档案 
内 设 定 

GATEWAY 为 你 自己 的 IP ， 但 是 该 主机 为 使 用 ADSL 拨 接 ， 所 以 当 拨 
接 成 功 后 会 产生 


一 个 ppp0 的 接口 ， 这 个 ppp0 接口 也 有 目 己 的 default gateway ， 好 了 ， 
那么 当 你 


要 将 封包 传送 到 Yahoo 这 个 非 为 本 网 域 的 主机 时 ， 这 个 封包 走 要 传 到 


eth0 还 是 

ppp0 呢 ? 因为 两 个 都 有 default gateway 啊 ! 

没 错 ! 很 多 朋友 就 是 这 里 搞 不 人 慌 啦 1! 常常 会 错乱 一 所以， 请 注意 ， 你 
的 default 


gateway 应 该 只 能 有 一 个 ， 如 果 是 拨 接 ， 请 不 要 在 ifcfg-eth0 当中 指定 
GATEWAY 或 


N 


4.5 重点 回顾 
0D Linux 以 太 网 络 卡 的 默认 代号 为 eth0, ethl 等 等 , 无 线 网 卡 则 为 wlan0， 


ra0 等 等 ; 

0 若 需 要 自行 编译 网 卡 驱 动 程序 时 ， 则 你 必须 要 先 安 装 gcc, make， 
kernel-header 等 软件 。 

0 内 部 网 域 的 私有 IP 之 主机 的 『 IP 与 主机 名 的 对 应 1 ， 最 好 还 是 写 入 
/etc/hosts ， 可 以 克服 很 多 软件 的 耳 反 查 所 花费 的 等 待 时 间 。 


D 卫 参数 设 定 在 /etc/sysconfig/network-scripts/ifcfg-eth0 当中 ， 主 机 


名 设 定 在 /etc/sysconfig/network 当中 ，DNS 设 定 在 /etc/resolv.conf 当 
中 了 


主机 名 与 IP 的 对 应 设 定 在 /etc/hosts; 


0D 在 GATEWAY 这 个 参数 的 设 定 上 面 ， 务 必 检 查 受 当 ， 仅 设 定 一 个 
GATEWAY 即 


可 o 
可 以 使 用 /etc/init.d/network restart 来 重 狐 启动 整个 系统 的 网 络 接口 。 
0 车 使 用 DHCP 协议 时 ， 则 请 将 GATEWAY 取消 设 定 ， 避 免 重 复出 现 


-a 


default gateway ， 反 而 造成 无 法 联机 的 状况 。 
0 ADSL 拨 接 后 可 以 产生 一 个 新 的 实体 接口 ， 名 称 为 ppp0 


0 无 线 网 卡 与 无 线 基 地 台 之 间 的 联机 由 于 是 透 过 无 线 接口 ， 所 以 需要 特 


别 注意 
网 络 安全 ; 


he On ， 主 要 利用 控制 登入 者 的 MAC 或 
年 加 


上 联机 加 密 机 制 的 密 钥 等 方法 ; 
0 设 定 网 络 卡 可 以 使 用 ifconfig 这 个 指令 ， 而 设 定 无 线 网 卡 则 需要 
iwconfig ， 人 至 于 扫 瞄 基地 人 台 ， 可 以 使 用 iwlist 这 个 指令 。 
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4.6 本 章 习 题 


0 我 要 如 何 确定 我 在 Linux 系统 上 面 的 网 络 卡 已 经 被 Linux 捉 到 并 且 驱 
动 


了 7 


网 络 卡 能 不 能 被 捉 到 可 以 使 用 『 dmesg|grep eth 4 来 判断 ， 有 没有 张 动 
则 


可 以 使 用 lsmod 看 看 模块 有 没有 加 载 核心 ! 最 后 ， 以 ifconfig eth0 


192.168.0.10 测试 看 看 ! 


0 假设 我 的 网 络 参数 为 ，IP 192.168.100.100, Netmask 255.255.255.0, 请 


问 我 要 如 何在 Linux 上 面 设 定好 这 些 网 络 参数 (未 所 及 的 网 络 参 数 请 目 
行 定 


义 ! ) 请 使 用 手动 与 档案 设 定 方 法 分 别 说 明 。 


手动 设 定 为 : 『 ifconfig eth0 192.168.100.100 netmask 255.255.255.0 
up J 

档案 设 定 为 : vi /etc/sysconfig/network-scripts/ifcfg-eth0 ， 内 容 为 : 
DEVICE=eth0 

ONBOOT=yes 

BOOTPROTO=static 

IPADDR=192.168.100.100 

NETMASK=255.255.255.0 

NETWORK=192.168.100.0 

BROADCAST=192.168.100.255 要 启动 则 使 用 ifup eth0 即 可 ! 


0 我 要 将 我 的 Linux 主机 名 改名 字 ， 步 又 应 该 如 何 (更 改 那 个 档案 ? 如 
何 局 


用 ? )? 


Linux 主机 名 在 /etc/sysconfig/network 这 个 档案 里 面 的 【HOSTNAME= 
主 


机 名 4 来 设 定 ， 先 以 vi 来 修改 ， 改 完 后 可 以 使 用 /etc/init.d/network 


restart 
不 过 建议 直接 reboot 启动 主机 名 ! 

中 /etc/resolv.conf 与 /etc/hosts 的 功能 为 何 ? 

以 主机 名 寻找 IP 的 方法 ， /etc/resolv.conf 内 填写 DNS 主机 名 ， 至 于 


/etc/hosts 则 直接 填写 主机 名 对 应 的 IP 即 可 ! 其 中 /etc/hosts 对 于 内 部 
私 


有 了 IP 的 主机 名 查询 非常 有 帮助 ! 
0D 我 使 用 ADSL 拨 接 连 上 Internet ， 请 问 拨 接 成 功 之 后 ， 我 的 Linux 上 
面 


会 有 几 个 网 络 接口 (假设 我 只 有 一 个 网 络 卡 )? 
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ee PPP (点 对 上 点) 协议， 所 以 拨 接 成 功 后 会 多 出 一 个 ppp0 
接口 ， 此 外 ， 系 统 原本 即 有 eth0 及 lo 这 两 个 界面 ， 所 以 共有 三 个 界 
面 o 

0 一 般 来 说 ， 如 采 我 拨 接 成 功 ， 也 取得 了 ppp0 这 个 接口 ， 但 是 却 无 法 
对 外 联 

机 成 功 ， 你 认为 应 该 是 哪里 出 了 问题 ? 该 如 何 解决 ? 


| 表示 物理 对 外 联机 没有 问题 ， 那 么 可 能 的 问题 应 该 
十 去 生 


人 Gateway 上 面 了 ! 确认 的 方法 请 使 用 route -n 查阅 路 由 信息 ， 然 后 修 


订 
/etc/sysconfig/network-scripts/ifcfg-eth0 吧 ! 


0 如 果 你 的 局 域 网 络 环 境内 有 可 以 控 管 的 无 线 AP 时 ， 请 自行 查 出 如 何 
以 MAC 


的 方式 管理 可 登入 的 用 户 ， 并 将 你 的 无 线 AP 做 好 联机 加 密 的 密 钥 设 
定 。 


请 自行 测试 ! 谢谢 | 


0 了 两 张 相同 心 片 的 网 络 卡 ， 代 表 两 者 使 用 的 模块 
为 同一 


个 ， 此 时 可 能 会 造成 网 卡 代号 的 误 判 ， 请 问 你 如 何 殉 服 这 个 问题 ? 让 
网 卡 代号 


不 会 变动 ? 


以 现在 的 方法 来 讲 ， 其 实 我 们 可 以 透 过 指定 Hardware Address( 硬 件 地 
址 : 


通称 为 MAC) 来 指定 网 卡 代 号 与 MAC 的 对 应 。 这 个 设 定 值 可 以 在 
ifcfg-ethx 


里 面 以 HWADDR 这 个 设 定 项 目 来 指定 的 。 

0 如 何在 Linux 上 面 的 文字 接口 搜寻 你 所 在 区 域 的 无 线 AP ? 
Re Tiwlist scan 4 这 个 指令 来 指定 某 个 无 线 网 卡 的 搜寻 ! 
然 


后 再 以 iwconfig 来 进行 网 卡 的 设 定 即 可 ! 


0 请 依 序 说 明 : 如 果 你 想 要 新 增 一 块 新 的 网 络 卡 在 你 的 主机 上 ， 并 给 予 
一 个 固 


定 的 私有 IP ， 应 如 何 进 行 ? 
o 先天 掉 主 机 的 power ， 然 后 拆 掉 机 壳 ， 装 上 网 络 卡 ; 
o 开机 完成 后 ， 以 dmesg | grep eth 查询 是 否 可 捉 到 该 网 络 卡 ， 若 无 


请 编译 模块 ， 夺 可 捉 到 ， 找 出 网 卡 代号 ， 并 且 将 该 模块 与 网 


代号 写 入 /etc/modprobe.conf 当中 ， 以 利 未 来 开机 时 可 目 动 达成 对 应 ; 
o 利 用 『 ifconfig "网 卡 代 号 " 」 来 查询 MAC 为 何 ? 
o 开始 在 /etc/sysconfig/network-scripts 内 建立 ifcfg-" 网 卡 代 


号 " 档案 ， 同 时 给 予 HWADDR 的 对 应 ; 


0 启动 /etc/init.d/metwork restart 测试 是 否 能 成 功 ! 


0 如 果 你 想 要 登入 某 个 区 域 的 无 线 AP ， 你 应 该 向 该 处 所 至 少 申请 哪些 
数据 ? 


无 线 网 络 的 技术 相当 多 且 复 杂 ， 所 以 需要 取得 的 参数 都 不 尽 相 同 。 不 


少 你 还 是 得 要 取得 ESSID 以 及 KEY 密码 ， 这 样 才 能 够 联机 登入 该 AP 
当中 。 
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4.7 参考 数据 与 延伸 阅读 

吕 注 1: mp-pppoe 宣 方 网 站 :， http://www.roaringpenguin.com/pppoe/ 

rp-pppoe 的 安装 方法 : 

http:/Ninux.vbird.org/linux server/0130internet connect/0130internet 
connect.php#connect adsl 

0 注 2: 相关 的 认证 说 明 : 

chap: 


http://en.wikipedia.org/wiki/Challenge-handshake authentication proto 


col 


0 注 3: 802.11n 在 维基 百科 的 说 明 : 


http:/en.wikipedia.org/wikiIEEE 802.11n-2009 


0 注 4: Wi-Fi http://zh.wikipedia.org/zh-tw/WiFi 


WiMAX http://zh.wikipedia.org/wiki/ WiMAX?variant=zh-tw 


吕 注 5: 无 线 网 络 安 全 日 皮 书 : 


0 注 6: Intel Centrino 的 无 线 网 卡 相关 模块 信息 : 
http:/ipw2100.sourceforge.net/, http://ipw2200.sourceforge.net/ 
HP 的 许多 无 线 网 络 的 计划 链接 ; 


2002/07/24: 首次 释 出 日 期 

2003/08/18: 重新 校正 ， 并 且 修 正 部 分 书写 方式 
2003/08/20: 新 增 课 后 练习 部 分 

2003/09/19: 加 入 前 往 参 考 用 解答 

2006/07/17: 将 原本 旧 文 章 移动 到 此 处 

2010/08/21: 将 原本 基于 CentOS 4.x 的 文章 移动 到 此 处 


2010/08/27: 由 于 目前 的 硬件 环境 不 同 了 ， 所 以 修改 了 无 线 网 络 的 处 理 
aul 


2010/08/28: 终于 修改 完毕 ! 在 无 线 网 卡 的 地 方 耽误 太 多 时 间 了 一 没有 
设备 啊 ! 


2011/07/15: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 


2011/07/20: 有 人 够 难处 理 的 一 篇 文章 ! 尤其 是 无 线 网 络 的 环境 重 现 部 
分 ， 好 麻烦 ~ 
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最 近 更 新 日 期 : 2011/07/18 


Linux 的 网 络 功能 相当 的 强悍 ， 一 时 之 间 我 们 也 无 法 完全 的 介绍 所 有 的 
网 络 指令 ， 这 个 章节 主要 的 目的 


在 介绍 一 些 常 见 的 网 络 指令 而 已 。 至 于 每 个 指令 的 详细 用 途 将 在 后 续 
服务 占 架 设 时 ， 依 照 指 令 的 相关 性 


来 进行 说 明 。 当 然 ， 在 这 个 章节 的 主要 目的 是 在 于 将 所 有 的 指令 汇 整 
在 一 起 ， 比较 容易 了 解 啦 ! 这 一 章 


还 有 个 相当 重要 的 重点 ， 那 束 是 封包 搬 取 的 指令 。 寿 不 熟悉 也 没 关 
系 ， 先 放 着 ， 全 部 读 完 后 再 回来 这 一 


草 仔 细 练 习 啊 1 


ifconfig, ifup, ifdown 


5.1.2 化 改 : route 


iwlist, iwcontfig 


得 IP 参数 : dhclient 


5.2.1 两 部 主机 两 点 沟通 ping, 用 ping 追踪 路 径 中 的 最 大 MTU 数值 


5.3.1 终端 机 与 BBS 联机 : telnet 

5.3.2 FTP 联机 软件 ftp, lftp (自动 化 脚本 ) 

S33 口 的 实 昌 pidgin (gaim 的 延伸 ) 
5.4 文字 接口 网 页 浏览 


5.4.1 文字 浏览 器 links 


5.4.2 文字 接口 研 : wget 
5.5 封包 摘 取 功能 


5.5.1 义 字 接口 封包 搬 取 器 :_tcpdump 


5.5.2 图 形 接 口 封 包 搓 取 器 : wireshark 


5.5.3 任意 启动 TCP/UDP 封包 的 塌 口 联机 :_nc, netcat 
5.6 重点 回顾 


5.7 本 童 习题 
5.8 参考 数据 与 延伸 阅读 
5.9 针对 本 文 的 建议 :_http://phorum.vbird.org/viewtopic.php?t=26123 


5.1 网 络 参数 设 定 使 用 的 指令 


任何 时 刻 如 果 你 想 要 做 好 你 的 网 络 参数 设 是 ， 包 括 IP 参数 、 路 由 参数 
与 无 线 网 络 


等 等 ， 束 得 要 了 解 拘 下 这 些 相 关 的 指令 才 行 ! 其 中 以 ifconfig 及 route 
这 两 文 指 令 
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O 


算是 较 重要 的 喔 ! 和 ^! 当然 ， 比 较 新 鲜 的 作法 ， 可 以 使 用 让 这 个 汇 
整 的 指令 来 设 定 


IP 参数 啦 ! 
Difconfig : 查询 、 设 定 网 络 卡 与 IP 网 域 等 相关 参数 ; 


Difup, ifdown: 这 两 个 档案 是 script， 透 过 更 简单 的 方式 来 局 动 网 络 接 
Es 


Droute : 查询、 设 定 路 由 表 (route table) 

0ip : 复合 式 的 指令 ， 可 以 直接 修改 上 述 提 到 的 功能 ; 

5.1.1 手动 /自动 设 定 与 启动 /关闭 卫 参数 : ifconfig, ifup, ifdown 

这 三 个 指令 的 用 途 都 是 在 启动 网 络 接口 ， 不 过 ，ifup 与 ifdown 仅 能 就 


/etc/sysconfig/network-scripts 内 的 ifcfg-ethX (X 为 数字 ) 进行 启动 或 关闭 
的 


动作 ， 并 不 能 直接 修改 网 络 参 数 ， 除 非 手动 调整 ifcfg-ethX 档案 才 行 。 
全 于 ifconfig 


则 可 以 直接 手动 给 予 某 个 接口 IP 或 调整 其 网 络 参 数 ! 确 下 我 们 就 分 另 


来 谈 一 谈 | 


0 


| 


ifconfig 


ifconfig 主要 是 可 以 手动 的 局 动 、 观 察 与 修改 网 络 接口 的 相关 参数 ， 可 
以 修改 的 


参数 很 多 啊 ， 包 括 IP 参数 以 及 MTU 等 等 都 可 以 修改 ， 他 的 语法 如 


SN 


[root@www ~]# ifconfig {interface} {upldown} <== 观察 与 启动 接口 
[root@www ~]# ifconfig interface {options} <== 设 定 与 修改 接口 
选项 与 参数 : 

interface: 网 络 卡 接口 代号 ， 包 括 eth0, eth1, ppp0 等 等 

options : 可 以 接 的 参数 ， 包 括 如 下 : 

up, down : 启动 (up) 或 关闭 (down) 该 网 络 接口 (不 涉及 任何 参数 ) 
mtu : 可 以 设 定 不 同 的 MTU 数值 ， 例 如 mtu 1500 (单位 为 byte) 
netmask : 束 是 子 屏 蔽 网 络 ; 

broadcast: 就 是 广播 地 址 啊 ! 

# 范例 一 ， 观 察 所 有 的 网 络 接口 (直接 输入 ifconfig) 

[root@www ~]# ifconfig 

eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.1.100 Bcast:192.168.1.255 

Mask:255.255.255.0 

inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 


UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
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RX packets:2555 errors:0 dropped:0 overruns:0 frame:0 
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:239892 (234.2 KiB) TX bytes:11153 (10.8 KiB) 


一 般 来 说 ， 直 接 输入 ifconfig 就 会 列 出 目前 已 经 被 启动 的 卡 ， 不 论 这 个 
是 否 有 给 巴 


IP， 都 会 被 显示 出 来 。 而 如 打 生 输入 ifconfig eth0， 则 仅 会 秀 出 这 张 接 
口 的 相关 数据 ， 


而 不 管 该 接口 是 否 有 启动。 所 以 如 采 你 想 要 知道 某 张 网 络 卡 的 
Hardware Address， 直 


接 输 入 『 ifconfig "网 络 接口 代号 " 4 即 可 喔 ! 和 人 人! 至 于 上 表 出 现 的 各 
项 数据 是 这 


样 的 (数据 排列 由 上 而 下 、 由 左 而 右 ): 
0 eth0: 就 是 网 络 卡 的 代号 ， 也 有 lo 这 个 loopback ; 
0 HWaddr: 就 是 网 络 卡 的 硬件 地 址 ， 俗 称 的 MAC 是 也 ，; 


U inet addr: IPv4 的 IP 地址， 后 续 的 Bcast, Mask 分 别 代表 的 是 


Broadcast 与 netmask 喔 ! 
Dinet6 addr: 是 IPv6 的 版 本 的 IP ， 我 们 没有 使 用 ， 所 以 略 过 |; 
0D MTU: 就 是 第 二 章 谈 到 的 MTU 啊 ! 


0 RX: 那 一 行 代表 的 是 网 络 由 局 动 到 目前 为 止 的 封包 接收 情况 ， 
packets 代 


表 封 包 数 、errors 代表 封包 发 生 错 误 的 数量 、dropped 代表 封包 由 于 有 
问题 而 


遭 丢 弃 的 数量 等 等 
0 TX: 与 RX 相反， 为 网 络 由 局 动 到 目前 为 止 的 传送 情况 ; 


0 collisions: 代表 封包 碰撞 的 情况 ， 如 来 发 生 太 多 次 ， 表 示 你 的 网 络 
状况 


不 太 好 ; 
口 txqueuelen: 代表 用 来 传输 数据 的 缓冲 区 的 储存 长 度 ; 
DRX bytes, TX bytes: 忆 接 收 、 发 送 字 太 忆 量 


透 过 观察 上 述 的 资料 ， 大 致 上 可 以 了 解 到 你 的 网 络 情况 ， 尤 其 是 那个 
RX, TX 内 的 


error 数量 ， 以 及 是 否 发 生 严 重 的 collision 情况 ， 都 是 需要 注意 的 喔 ! 


和 人 和 


# 范例 二 : 暂时 修改 网 络 接口 ， 给 予 eth0 一 个 192.168.100.100/24 的 参 
数 


[root@www ~]# ifconfig eth0 192.168.100.100 


# 如 末 不 加 任何 其 他 参数 ， 则 系统 会 依照 该 IP 所 在 的 class 范围 ， 目 动 
的 


计算 出 

# netmask 以 及 network, broadcast 等 IP 参数 ， 寿 想 改 其 他 参数 则 : 
[root@www ~]# ifconfig eth0 192.168.100.100\ 

> netmask 255.255.255.128 mtu 8000 


# 设 定 不 同 参数 的 网 络 接口 ， 同 时 设 定 MTU 的 数值 ! 


[root@www ~]# ifconfig eth0 mtu 9000 
# 仅 修改 该 接口 的 MTU 数值 ， 其 他 的 保持 不 动 ! 
[root@www ~]# ifconfig eth0:0 192.168.50.50 
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0 


口 ， 
# 亦 即 是 在 一 张 网 络 卡 上 面 设 定 多 个 IP 的 意思 啦 


[root@www ~]# ifconfig 

eth0 Link encap:Ethermet HWaddr 08:00:27:71:85:BD 
inet addr:192.168.100.100 Bcast:192.168.100.127 
Mask:255.255.255.128 

inet6 addr: fe80::a00:27ff:fe71:85bd/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1 
RX packets:2555 errors:0 dropped:0 overruns:0 frame:0 
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:239892 (234.2 KiB) TX bytes:11153 (10.8 KiB) 
eth0:0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 


inet addr:192.168.50.50 Bcast:192.168.50.255 


Mask:255.255.255.0 
UP BROADCAST RUNNING MULIICAST MTU:9000 Metric:1 


# 仔细 看 ， 和 是 否 与 硬件 有 关 的 信息 都 相同 啊 ! 没 错 ! 因为 是 同一 张 网 卡 
嘱 ! 


# 那 如 果 想 要 将 刚刚 建立 的 那 张 eth0:0 关闭 就 好 ， 
“影响 原 有 的 eth0 呢 ? 


[root@www ~]#ifconfig eth0:0 down 
# 头 控 eth0:0 这 个 界面 。 那 如 果 想 用 默认 值 局 动 eth1: 
Tifconfig ethl upJ 
即 可 达成 
# 范例 三 :将 手动 的 处 理 全 部 取消 ， 使 用 原 有 的 设 定 值 重建 网 络 参数 : 
[root@www ~]# /etc/init.d/network restart 
# 刚刚 设 定 的 数据 全 部 失效 ， 会 以 ifcfg-ethX 的 设 定 为 主 ! 


使 用 ifconfig 可 以 暂时 手动 来 设 定 或 修改 某 个 适 配 卡 的 相关 功能 ， 并 且 
也 可 以 透 过 

eth0:0 这 种 虚拟 的 网 络 接口 来 设 定好 一 张 网 络 卡 上 面 的 多 个 耳 喔 ! 手 
动 的 方式 真是 


人 简单 啊 ! 并 且 设 定 错 误 也 不 打 紧 ， 因 为 我 们 可 以 利用 /etc/init.d/network 
restart 来 


重新 局 动 整个 网 络 接口 ， 那 么 之 前 手动 的 设 定数 据 会 全 部 都 失效 喔 ! 
为 四 y， 要 局 动 茶 


个 网 络 接口 ， 但 又 不 让 他 具有 IP 参数 时 ， 直 接 给 他 ifconfig eth0 up 即 
可 ! 这 个 


动作 经 常 在 无 线 网 卡 当中 会 进行 ， 因 为 我 们 必须 要 启动 无 线 网 卡 让 他 
去 侦 测 AP 存在 与 


售 啊 ! 

[ 

ifup, ifdown 
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实时 的 手动 修改 一 些 网 络 接 口 参数 ， 可 以 利用 ifconfig 来 达成 ， 如 采 是 
要 直接 以 


配置 文件 ， 亦 即 是 在 /etc/sysconfig/network-scripts 里 面 的 ifcfg-ethx 等 
档案 


的 设 定 参 数 来 局 动 的 话 ， 那 束 得 要 透 过 ifdown 或 ifup 来 达成 了 。 
[root@www ~]#ifup {interface} 

[root@www ~]#ifdown {interface} 

[root@www ~]#ifup eth0 


ifup 与 ifdown 真是 太 简 单 了 ! 这 两 文 程序 其 实 是 script 而 已 ， 他 会 直 
接 到 


/etc/sysconfig/network-scripts 目 杂 下 搜寻 对 应 的 配置 文件 ， 例 如 ifup 
eth0 时 ， 


他 会 找 出 ifcfg-eth0 这 个 档案 的 内 容 ， 然 后 来 加 以 设 定 。 关于 ifcfg-eth0 
的 设 定 


风情 二 三 A 彰 的 访 日 


下 这， 由 于 这 两 支 程序 主要 是 搜寻 配置 文 作 (cfgrethg) 来 进行 启动 与 
关闭 的 ， 


所 以 在 使 用 前 请 确定 ifcfg-ethx 是 人 否 真 的 存在 于 正确 的 目 杂 内 ， 人 否则 会 
局 动 失败 喔 ! 

另外 ， 如 采 以 ifconfig eth0 … 来 设 定 或 者 是 修改 了 网 络 接口 后 ， 那 束 
无 法 再 以 


ifdown eth0 的 方式 来 关闭 了 ! 因为 ifdown 会 分 析 比 对 目前 的 网 络 参 数 


ifcfg-eth0 是 否 相 符 ， 不 符 的 话 ， 束 会 放弃 该 次 动作 。 因 此 ， 使 用 
ifconfig 修改 完 


毕 后 ， 应 该 要 以 ifconfig eth0 down 才能 够 关闭 该 接口 喔 ! 
5.1.2 路 由 修改 : ”route 

在 第 二 章 网 络 基础 的 时 候 谈 过 关于 路 由 的 问题 ， 两 部 主机 之 间 一 
定 要 有 路 由 

才能 够 互通 TCP/P 的 协议 ， 否 则 就 无 法 进行 联机 啊 ! 一 般 来 说 ， 只 
有 网 络 接口 ， 该 


接口 融会 产生 一 个 路 由 ， 所 以 我 们 安装 的 主机 有 一 个 eth0 的 接口 ， 看 
起 来 束 会 是 这 样 : 


[root@www ~]# route [-nee] 
[root@www ~]# route add [-net|-host] [网 域 或 主机 ] netmask [mask] 
[gwldev] 

[root@www ~]# route del [-net|-host] [网 域 或 主机 ] netmask [mask] 


[gwldev] 


-n : 不 要 使 用 通讯 协议 或 主机 名 ， 直 接 使 用 IP 或 port number:; 
-ee : 使 用 更 详细 的 信息 来 显示 

增加 (add) 与 删除 (del) 路 由 的 相关 参数 : 

-net : 表示 后 面 接 的 路 由 为 一 个 网 域 ; 

-host : 表示 后 面 接 的 为 连接 到 单 部 主机 的 路 由 ; 

netmask : 与 网 域 有 关 ， 可 以 设 定 netmask 决定 网 域 的 大 小 ; 
gw : gateway 的 简写 ， 后 续 接 的 是 IP 的 数值 咀 ， 与 dev 不 同 ; 
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dev : 如 条 只 是 要 指定 由 那 一 块 网 络 卡 联机 出 去 ， 则 使 用 这 个 设 定 ， 
后 面授 eth0 等 

# 范例 一 : 单纯 的 观察 路 由 状态 


[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use lface 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 


0 eth0 


0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 
0 eth0 

[root@www ~]# route 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use lface 

192.168.1.0 * 255.255.255.0U00 

0 eth0 

link-local * 255.255.0.0 U 1002 0 

0 eth0 

default 192.168.1.254 0.0.0.0 UG 00 
0 eth0 


由 上 面 的 例子 当中 仔细 观察 route 与 route -n 的 输出 结果 ， 你 可 以 发 现 
有 加 -n 参 


数 的 主要 是 显示 出 IP ， 至 于 使 用 route 而 已 的 话 ， 显 示 的 则 是 『 主 机 
名 J 喔 ! 也 就 


是 说 ， 在 预 设 的 情况 下 ， route 会 去 找 出 该 IP 的 主机 名 ， 如 有 果 找 不 到 


呢 ? 可 会 显示 


的 钝 钝 的 (有 点 小 慢 )， 所 以 说 ， 乌 哥 通 单 都 直接 使 用 route -n 啦 ! 由 上 
面 看 起 来 ， 


我 们 也 知道 default = 0.0.0.0/0.0.0.0 ， 而 上 面 的 信息 有 哪些 你 必须 要 知 
道 的 呢 ? 


0 Destination, Genmask: 这 两 个 玩意 儿 就 是 分 别 是 network 与 netmask 


啦 ! 

所 以 这 两 个 吹 吹 束 组 合成 为 一 个 完整 的 网 域 咖 ! 

DU Gateway: 该 网 域 是 通过 哪个 gateway 连接 出 去 的 ? 如 果 显 示 0.0.0.0 
表 

示 该 路 由 是 直接 由 本 机 传送 ， 亦 即 可 以 透 过 局 域 网 络 的 MAC 直接 传 
讯 ， 如 果 有 


显示 IP 的话， 表示 该 路 由 需要 经 过 路 由 器 (通讯 闹 ) 的 帮忙 才能 够 传送 
而 其 


0D Elags: 总 共有 多 个 旗 标 ， 代 表 的 意义 如 下 : 

0 U (route is up): 该 路 由 是 局 动 的 ; 

o H (target is a host): 目标 是 一 部 主机 (IP) 而 非 网 域 ; 

o G (use gateway): 需要 透 过 外 部 的 主机 (gateway) 来 转 弟 封包，; 
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0 R (reinstate route for dynamic routing): 使 用 动态 路 由 时 ， 人 恢 
复 路 由 信息 的 旗 标 ; 

oD (dynamically installed by daemon or redirect): 已 经 由 服务 
或 转 port 功能 设 定 为 动态 路 由 

o M (modified from routing daemon or redirect): 路 由 已 经 被 修改 
于 

0 ! (reject route): 


这 个 路 由 将 不 会 被 接受 (用 来 抵挡 不 安全 的 网 域 ! ) 


0 Iface: 这 个 路 由 传递 封包 的 接口 。 


此 外 ， 观 察 一 下 上 面 的 路 由 排列 顺序 喔 ， 依 序 是 由 小 网 域 
(192.168.1.0/24 是 


Class C)， 逐 渐 到 大 网 域 (169.254.0.0/16 Class B) 最 后 则 是 预 设 路 由 


(0.0.0.0/0.0.0.0)。 然后 当 我 们 要 判断 某 个 网 络 封包 应 该 如 何 传送 的 时 
候 ， 该 封包 会 


经 由 这 个 路 由 的 过 程 来 判断 喔 ! 举例 来 说 ， 我 上 头 仅 有 三 个 路 由 ， 考 
我 有 一 个 传 往 


192.168.1.20 的 封包 要 传递 ， 那 首先 会 找 192.168.1.0/24 这 个 网 域 的 路 
由 ， 找 到 了 ! 


所 以 直接 由 eth0 传送 出 去 ; 


如 果 是 传送 到 Yahoo 的 主机 呢 ? Yahoo 的 主机 IP 是 119.160.246.241， 
我 们 通 


过 判断 1) 不 是 192.168.1.0/24， 2) 不 是 169.254.0.0/16 结果 到 达 3)0/0 
时 ，OK! 


传 出 去 了 ， 透 过 eth0 将 封包 传 给 192.168.1.254 那 部 gateway 主机 啊 ! 
所 以 说 ， 路 


由 是 有 顺序 的 。 


因此 当 你 重复 设 定 多 个 同样 的 路 由 时 ， 例如 在 你 的 主机 上 的 两 张 网 络 
卡 设 定 为 相 


同 网 域 的 IP 时 ， 会 出 现 什么 情况 ? 会 出 现 如 下 的 情况 : 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref 


Use Iface 

192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth0 

192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth1 


也 就 是 说 ， 由 于 路 由 是 依照 顺序 来 排列 与 传送 的 ， 所 以 不 论 封包 是 由 
那个 界面 (eth0， 


eth1) 所 接收 ， 都 会 由 上 述 的 eth0 传送 出 去 ， 所以， 在 一 部 主机 上 面 设 
定 两 个 相同 


网 域 的 IP 本 身 没有 什么 意义 ! 有 点 多 此 一 举 就 是 了 。 除非 是 类 似 虚 拟 
机 , (Xen, 


VMware 等 软件 ) 所 架设 的 多 主机 时 ， 才 会 有 这 个 必要 ~ 

# 范例 二 : 路 由 的 增加 与 删除 

[root@www ~]#route del -net 169.254.0.0 netmask 255.255.0.0 dev eth0 
# 上 面 这 个 动作 可 以 删除 掉 169.254.0.0/16 这 个 网 域 ! 
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# 请 注意 ， 在 删除 的 时 候 ， 需 要 将 路 由 表 上 面 出 现 的 信息 都 写 入 


# 包括 netmask , dev 等 等 参数 喔 ! 注意 注意 
[root@www ~]# route add -net 192.168.100.0\ 
> netmask 255.255.255.0 dev eth0 


# 透 过 route add 来 增加 一 个 路 由 ! 请 注意 ， 这 个 路 由 的 设 定 必 须要 能 
够 与 


你 的 网 络 互通 。 

# 举例 来 说 ， 如 果 我 下 达 底 下 的 指令 就 会 显示 错误 : 

# route add -net 192.168.200.0 netmask 255.255.255.0 gw 192.168.200.254 
# 因为 我 的 主机 内 仅 有 192.168.1.11 这 个 IP ， 所 以 不 能 直接 与 
192.168.200.254 

# 这 个 网 段 直接 使 用 MAC 互通 ! 这 样 说 ， 可 以 理解 吗 ? 

[root@www ~}]# route add default gw 192.168.1.250 

# 增加 预 设 路 由 的 方法 ! 请 注意 ， 只 要 有 一 个 预 设 路 由 就 够 了 喔 ! 

# 同样 的 ， 那 个 192.168.1.250 的 IP 也 需要 能 与 你 的 LAN 沟通 才 行 ! 
2 如 果 你 随便 设 定 后 ， 记 得 使 用 底下 的 指令 重新 设 定 你 的 网 


# /etc/init.d/network restart 


如 果 是 要 进行 路 由 的 删除 与 增加 ， 那 就 得 要 参考 上 面 的 例子 了 ， 其 
实 ， 使 用 man route 


里 面 的 数据 就 很 丰富 了 ! 仔细 查 刚 一 下 虽 ! 你 只 要 记得 ， 当 出 现 
TSIOCADDRT: Network 


is unreachableJ」 这 个 错误 时 ， 肯 定 是 由 于 gw 后 面授 的 IP 无 法 直接 与 
你 的 网 域 沟 


通 (Gateway 并 不 在 你 的 网 域内 )， 所以， 赶紧 检查 一 下 是 否 输入 错误 
py ! 


Tips: 
一 般 来 说 ， 鸟 哥 如 果 接 触 到 一 个 新 的 环境 内 的 主机 ， 在 不 想 要 更 动 
原 系统 的 配置 文件 情况 下 ， 然 后 预计 使 用 本 书 的 网 络 环境 设 定时 ， 


手动 的 处 理 就 变 成 : Tifconfig eth0 192.168.1.100; route add 


default gw 192.168.1.2544 这 样 束 搞定 了 ! 直接 联网 与 测试 。 等 
到 完成 测试 后 ， 再 给 她 /etc/init.d/network restart 恢复 原 系统 
的 网 络 即 可 。 

5.1.3 网 络 参数 绪 合 指令 ;ip 


ip 征 个 指令 喔 ! 并 不 是 那个 TCP/P 的 他 啦 ! 这 个 ip 指令 的 功能 可 多 
丁 芋 区 


本 上 ， 他 就 是 整合 了 ifconfig 与 route 这 两 个 指令 嗓 一 不过， 让 可 以 达 
成 的 功能 


却 又 多 更 多 ! 真是 个 相当 厉害 的 指令 。 如 条 你 有 兴趣 的 话 ， 请 目 行 vi 
/sbin/ifup ， 


束 知 道 整 个 ifup 就 是 利用 ip 这 个 指令 来 达成 的 。 好 了 ， 如 何 使 用 呢 ? 
让 我 们 来 瞧 一 


瞧 移 ! 
[root@www ~]# ip [option] [动作 ] [指令 ] 


选项 与 参数 : 
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option : 设 定 的 参数 ， 主 要 有 : 

-s : 显示 出 该 装置 的 统计 数据 (statistics)， 例 如 总 接受 封包 数 等 ; 
动作 : 亦 即 是 可 以 针对 哪些 网 络 参 数 进 行动 作 ， 包 括 有 : 

link : 关于 装置 (device) 的 相关 设 定 ， 包 括 MTU, MAC 地 址 等 等 
addr/address : 关于 额外 的 IP 协议 ， 例 如 多 了 IP 的 达成 等 等 ; 
route : 与 路 由 有 关 的 相关 设 定 


由 上 面 的 语法 我 们 可 以 知道 ，ip 除了 可 以 设 定 一 些 基 本 的 网 络 参数 之 
外 ， 还 能 够 进行 


额外 的 IP 协 议 ， 包 括 多 卫 的 达成 ， 真 是 太 完美 了 ! 底下 我 们 就 分 三 个 
部 分 (ink, 


addr, route) 来 介绍 这 个 ip 指令 吧 ! 
UD 
关于 装置 接口 (device) 的 相关 设 定 : ip link 


ip link 可 以 设 定 与 装置 (device) 有 天 的 相关 参数 ， 包 括 MTU 以 及 该 网 
络 接口 


的 MAC 等 等 ， 当 然 也 可 以 局 动 (up) 或 关闭 (down) 某 个 网 络 接口 图 ! 


整个 语法 是 这 

样 的 : 

[root@www ~]#ip [-s] link show <== 单纯 的 查阅 该 装置 相关 的 信息 
[root@www ~]# ip link set [device] [动作 与 参数 ] 


选项 与 参数 


show: 仅 显示 出 这 个 疤 置 的 相关 内 容 ， 如 果 加 上 -s 会 显示 更 多 统计 数 
据 ; 


set : 可 以 开始 设 定 项 目 ， device 指 的 是 eth0, eth1 等 等 界面 代号 ; 
动作 与 参数 : 包括 有 底下 的 这 些 动作 : 

upldown : 启动 (up) 或 关闭 (down) 某 个 接口 ， 其 他 参数 使 用 默认 的 以 
太 网 络 ; 

address : 如 果 这 个 装置 可 以 更 改 MAC 的 话 ， 用 这 个 参数 修改 ! 
name : 给 予 这 个 装置 一 个 特殊 的 名 字 ; 

mtu : 就 是 最 大 传输 单元 啊 ! 


# 范例 一 :显示 出 所 有 的 接口 信息 


[root@www ~]# ip link show 


1: lo0: <LOOPBACK,UPLOWER_UP> mtu 16436 qdisc nogqueue state 
UNKNOWN 


link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 


2: eth0: <BROADCAST, MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP qlen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 


3: eth1: <BROADCAST, MULTICAST> mtu 1500 qdisc noop state DOWN 
qlen 1000 


link/ether 08:00:27:2a:30:14 brd ff:ff:ff:ff:ff:ff 
4: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 


link/sit 0.0.0.0 brd 0.0.0.0 
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[root@www ~]# ip -s link show eth0 


2: eth0: <BROADCAST, MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP qlen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 
RX: bytes packets errors dropped overrun mcast 
314685 33540000 

TX: bytes packets errors dropped carrier collsns 
27200 1990000 


使 用 ip link show 可 以 显示 出 整个 小 置 接口 的 硬件 相关 信息 ， 如 上 所 
示 ， 包 括 网 卡 地 


址 (MAC)、MTU 等 等 ， 比较 有 趣 的 应 该 是 那个 sit0 的 接口 了 ， 那 个 
sit0 的 界面 是 用 


在 IPv4 及 IPv6 的 封包 转换 上 的 ， 对 于 我 们 仅 使 用 IPv4 的 网 络 是 没有 
作用 的 。 lo 


及 sit0 都 是 主机 内 部 所 目 行 设 定 的 。 而 如 条 加 上 -s 的 参数 后 ， 则 这 
网 络 卡 的 相 


天 统计 信息 束 会 被 列 出 来 ， 包 括 接收 (RX) 及 传送 (TX) 的 封包 数量 等 
等 ， 详 细 的 内 


容 与 ifconfig 所 输出 的 结果 相同 的 。 
# 范例 二 : 启动 、 天 闭 与 设 定 装 置 的 相关 信息 


[root@www ~]# ip link set eth0 up 


# 局 动 eth0 这 个 小 置 接口 ; 


[root@www ~]# ip link set eth0 down 

# 阿 软 关闭 啊 ! 人 简单 的 要 命 ~~ 

[root@www ~]# ip link set eth0 mtu 1000 

# 更 改 MTU 的 值 ， 达 到 1000 bytes， 单 位 就 是 bytes 啊 ! 


更 新 网 络 卡 的 MTU 使 用 ifconfig 也 可 以 达成 啊 ! 没 哈 了 不 起 ,不 过 ， 
如 朱 生 要 更 改 


『 网 络 卡 代号 、MAC 地 址 的 信息 4 的 话 ， 那 可 就 得 使 用 ip 咖 ~ 不 
过 ， 设 定 前 可 能 得 


要 先天 闭 该 网 络 卡 ， 否 则 会 不 成 功 。 如 下 所 示 : 

# 范例 三 : 修改 网 络 卡 代 号 、MAC 等 参数 

[root@www ~]# ip link set eth0 name vbird 

SIOCSIFNAME: Device or resource busy 

# 因为 该 狼 置 目前 是 局 动 的 ， 所 以 不 能 这 样 做 设 是 。 你 应 该 要 这 样 做 : 
[root@www ~]# ip link set eth0 down <== 关 闭 界 面 

[root@www ~]# ip link set eth0 name vbird <== 重 新 设 定 

[root@www ~]# ip link show <== 观 察 一 


2: vbird: <BROADCAST, MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP qlen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 

# 怕 了 吧 ! 连 网 络 卡 代号 都 可 以 改变 ! 不 过 ， 玩 玩 后 记得 改 回来 啊 ! 

# 因为 我 们 的 ifcfg-eth0 还 是 使 用 原本 的 装置 代号 ! 避免 有 问题 ， 要 改 
回来 
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[root@www ~]# ip link set vbird name eth0 <== 界 面 改 回来 
[root@www ~]# 记 link set eth0 address aa:aa:aa:aa:aa:aa 


[root@www ~]# ip link show eth0 


# 如 果 你 的 网 络 卡 支持 硬件 地 址 (MAC) 可 以 更 改 的 话 ， 上 面 这 个 动作 就 
可 以 更 


改 


# 你 的 网 络 卡 地 址 了 ! 厉害 吧 ! 不 过 ， 还 是 那 句 老 话 ， 测 试 完 之 后 请 立 
刻 改 回 


来 啊 | 


在 这 个 闭 置 的 便 件 相关 信息 设 定 上 面 ， 包 括 MTU, MAC 以 及 传输 的 模 
式 等 等 ， 都 可 以 在 


这 里 设 定 。 有 趣 的 是 那个 address 的 项 目 ， 那 个 项 目 后 面 接 的 可 是 硬件 
地 址 (MAC) 而 


不 是 IP 喔 ! 很 容易 搞 错 啊 ! 切记 切记 ! 更 多 的 硬件 参数 可 以 使 用 man 
ip 查阅 一 下 

与 ip link 有 天 的 设 定 。 

关于 额外 的 IP 相关 设 定 : ip address 

如 果 说 ip link 是 与 OSIL 七 层 协定 的 第 二 层 资 料 连 阶层 有 关 的 话 ， 那 么 

ip address (ip addr) 就 是 与 第 三 层 网 络 层 有 天 的 参数 啦 ! 主要 是 在 设 定 

与 IP 有 关 的 


各 项 参数 ， 包 括 netmask, broadcast 等 等 。 


[root@www ~]# ip address show <== 就 是 查阅 IP 参数 啊 ! 

[root@www ~]# ip address [addldel] [IP 参数 ] [dev 装置 名 ] [相关 参数 ] 

选项 与 参数 : 

show : 单纯 的 显示 出 接口 的 卫 信息 啊 ; 

addldel : 进行 相关 参数 的 增加 (add) 或 删除 (del) 设 定 ， 主 要 有 : 

IP 参数 : 主要 就 是 网 域 的 设 定 ， 例 如 192.168.100.100/24 之 类 的 设 定 
喔 ; 

dev : 这 个 卫 参数 所 要 设 定 的 接口 ， 例 如 eth0, ethl 等 等 ; 

相关 参数 ， 主 要 有 底下 这 些 : 

broadcast: 设 定 广播 地 址 ， 如 果 设 定 值 是 + 表示 『 让 系统 自动 计算 4 
label : 亦 即 是 这 个 装置 的 别名 ， 例 如 eth0:0 就 是 了 ! 

scope : 这 个 界面 的 领域 ， 通 常 是 这 几 个 大 类 : 

gobal : 允许 来 自 所 有 来 源 的 联机 ; 

site : 仅 支 持 IPv6 ， 仅 允许 本 主机 的 联机 

link : 仅 人 允许 本 装置 自我 联机 ; 

host : 仅 允 许 本 主机 内 部 的 联机 ; 

所 以 当然 是 使 用 global 嚼 ! 预 设 也 是 global 啦 ! 


# 范例 一 : 显示 出 所 有 的 接口 之 IP 参数 : 


[root@www ~]# ip address Show 
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1: lo0: <LOOPBACK,UPLOWER_UP> mtu 16436 qdisc nogqueue state 
UNKNOWN 


link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 

inet6 ::1/128 scope host 

valid_lft forever preferred_|ft forever 


2: eth0: <BROADCAST, MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP qlen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 

inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0 
inet6 fe80::a00:27ff:fe71:85bd/64 scope link 

valid_lft forever preferred_|ft forever 


3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN 
qlen 1000 


link/ether 08:00:27:2a:30:14 brd ff:ff:ff:ff:ff:ff 
4: sit0: <NOARP> mtu 1480 qdisc noop state DOWN 
link/sit 0.0.0.0 brd 0.0.0.0 


看 到 上 面 那 个 特殊 的 字体 吗 ? 没 错 ! 那 束 是 IP 参数 啦 ! 也 是 ip address 
最 主要 的 功 


能 。 压 下 我 们 进一步 来 新 增 虚 拟 的 网 络 界 面试 看 看 : 
# 范例 二 :新 增 一 个 接口 ， 名 称 假设 为 eth0:vbird 


[root@www ~]# ip address add 192.168.50.50/24 broadcast + \ 


> dev eth0 label eth0:vbird 
[root@www ~]# ip address show eth0 


2: eth0: <BROADCAST, MULTICAST,UP,LOWER_UP> mtu 1500 qdisc 
pfifo_fast state UP qlen 1000 


link/ether 08:00:27:71:85:bd brd ff:ff:ff:ff:ff:ff 

inet 192.168.1.100/24 brd 192.168.1.255 scope global eth0 

inet 192.168.50.50/24 brd 192.168.50.255 scope global eth0:vbird 
inet6 fe80::a00:27ff:fe71:85bd/64 scope link 


valid_lft forever preferred_|ft forever 


# 看 到 上 面 的 特殊 字体 了 吧 ? 多 出 了 一 行 新 的 接口 ， 且 名 称 是 
eth0:vbird 


# 至 于 那个 broadcast + 也 可 以 写成 broadcast 192.168.50.255 啦 ! 
[root@www ~]# ifconfig 

eth0:vbird Link encap:Ethernet HWaddr 08:00:27:71:85:BD 

inet addr:192.168.50.50 Bcast:192.168.50.255 

Mask:255.255.255.0 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
# 如 采 使 用 ifconfig 束 能 够 看 到 这 个 怪 东 西 了 ! 可 爱 吧 ! 人 人 

# 汇 例 三 ， 将 刚刚 的 界面 删除 

[root@www ~]# ip address del 192.168.50.50/24 dev eth0 


# 删除 就 比较 简单 啊 ! 和信 
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关于 路 由 的 相关 设 定 : ip route 


这 个 项 目 当然 丈 是 路 由 的 观察 与 设 定 嗓 ! 事实 上 ，ip route 的 功能 几乎 
与 route 


这 个 指令 差不多 ， 但 是 ， 他 还 可 以 进行 额外 的 参数 设计 ， 例 如 MTU 的 
规划 等 等 ， 相 当 


的 强悍 啊 ! 

[root@www ~]#ip route show <== 单 纯 的 显示 出 路 由 的 设 定 而 已 
[root@www ~]#ip route [addldel] [IP 或 网 域 ] [via gateway] [dev 装置 ] 
选项 与 参数 : 

show : 单纯 的 显示 出 路 由 表 ， 也 可 以 使 用 list ; 

addldel : 增加 (add) 或 删除 (del) 路 由 的 意思 。 

IP 或 网 域 : 可 使 用 192.168.50.0/24 之 类 的 网 域 或 者 是 单纯 的 IP ; 
via : 从 那个 gateway 出 去 ， 不 一 定 需要 ; 

dev : 由 那个 装置 连 出 去 ， 这 就 需要 了 | 

mtu : 可 以 额外 的 设 定 MTU 的 数值 喔 ! 

# 范例 一 :显示 出 目前 的 路 由 资料 


[root@www ~]# ip route show 
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.100 


169.254.0.0/16 dev eth0 scope link metric 1002 


default via 192.168.1.254 dev eth0 


如 上 表 所 示 ， 最 商 单 的 功能 融 是 显示 出 目前 的 路 由 信息 ， 其 实 跟 route 
这 个 指令 相同 


啦 ! 指示 必须 要 注意 几 个 小 东西 : 
proto: 此 路 由 的 路 由 协议 ， 主 要 有 redirect, kernel, boot, static, ra 
等 ， 其 中 kernel 指 的 是 直接 由 核心 判断 目 动 设 定 。 


0 scope: 路 由 的 范围 ， 主 要 是 link ， 亦 即 是 与 本 装置 有 关 的 直接 联 
机 。 


再 来 看 一 下 如 何 进 行路 由 的 增加 与 删除 吧 ! 

# 范例 二 : 增加 路 由 ， 主 要 是 本 机 直接 可 沟通 的 网 域 

[root@www ~]# ip route add 192.168.5.0/24 dev eth0 

# 针 对 本 机 直接 沟通 的 网 域 设 定好 路 由 ， 不 需要 透 过 外 部 的 路 由 瞻 


[root@www ~]# ip route show 

192.168.5.0/24 dev eth0 scope link 

…( 以 下 省 略 )..… 

# 范例 三 : 增加 可 以 通 往外 部 的 路 由 ， 过 router 喔 ! 

[root@www ~1# ip route add 192.168.10.0/24 via 192.168.5.100 dev eth0 
[root@www ~]# ip route show 

192.168.5.0/24 dev eth0 scope link 

…( 其 他 省 上 略 )..… 
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0 
0 


192.168.10.0/24 via 192.168.5.100 dev eth0 


# 仔细 看 喔 ， 因 为 我 有 192.168.5.0/24 的 路 由 存在 (我 的 网 卡 直 接 联 
系 )， 


# 所 以 才 可 以 将 192.168.10.0/24 的 路 由 丢 给 192.168.5.100 

# 那 部 主机 来 帮忙 传递 喔 ! 与 之 前 提 到 的 route 指令 是 一 样 的 限制 ! 
# 范例 四 : 增加 预 设 路 由 

[root@www ~}]# ip route add default via 192.168.1.254 dev eth0 

# 那个 192.168.1.254 就 是 我 的 预 设 路 由 絮 (gateway) 的 意思 啊 ! 人 人 
# 真 的 记得 ， 只 要 一 个 预 设 路 由 殉 OK ! 

# 范例 五 : 删除 路 由 


[root@www ~]# ip route del 192.168.10.0/24 


[root@www ~]# ip route del 192.168.5.0/24 


事实 上 ， 这 个 ip 的 指令 实在 是 太 博 大 精深 了 ! 刚 接触 Linux 网 络 的 朋 
友 ， 可 能 会 


到 有 点 晤 一 不要紧 啦 ! 你 先 会 使 用 ifconfig, ifup , ifdown 与 route 即 
可 ， 等 以 


后 有 经 验 了 之 后 ， 再 继续 回来 玩 ip 这 个 好 玩 的 指令 吧 ! 人 人 有 兴趣 的 
话 ， 也 可 以 目 


行 参考 ethtool 这 个 指令 喔 ! (man ethtool)。 


5.1.4 无 线 网 络 : iwlist, iwconfig 


| 无 线 网 卡 才能 够 进行 喔 ! 这 两 个 指令 的 用 途 是 
这 样 的 : 


Diwlist， 利 用 无 线 网 卡 进行 无 线 AP 的 侦 测 与 取得 相关 的 数据 ; 
0 iwconfig: 设 定 无 线 网 卡 的 相关 参数 。 


这 两 个 指令 的 应 用 我 们 在 第 四 章 里 面 的 无 线 网 卡 设 定 谈 了 很 多 了 ， 所 


以 这 里 我 们 


不 再 详 谈 ， 有 兴趣 的 朋友 应 该 先 使 用 man iwlist 与 man iwconfig 了 解 一 
下 语法 ， 然 


后 再 到 前 一 章 的 无 线 网 络 小 节 查 一 查 相关 的 用 法 ， 就 了 解 了 啦 ! 人 信人 
5.1.5 手动 使 用 DHCP 自动 取得 IP 参数 : dhclient 


~ DHCP 协议 在 局 域 网络 内 取得 IP 的 话 ， 那 么 是 否 一 定 要 
去 编辑 


ifcfg-eth0 内 的 BOOTPROTO 呢 ? 嘿嘿 ! 有 个 更 快速 的 作法 ， 那 就 是 
利用 dhclient 这 


个 指令 ~ 因为 这 个 指令 才 有 是 真正 发 送 dhcp 要 求 工 作 的 程序 啊 ! 那 要 如 
何 使 用 呢 ? 很 简 


单 ! 如 条 不 考虑 其 他 的 参数 ， 使 用 展 下 的 方法 即 可 : 
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[root@www ~]# dhalient eth0 


够 简单 吧 ! 这 样 就 可 以 立刻 叫 我 们 的 网 络 卡 以 dhcp 协议 去 尝试 取得 IP 
喔 ， 


5.2 网 络 侦 锯 与 观察 指令 
在 网 络 的 互助 论坛 中 ， 最 常 听 到 的 一 句 话 束 是 ，『 高 手 求救 ! 我 的 


Linux 不 能 连 


上 网 络 了 ! J 我 的 天 呐 ! 不 能 上 网 络 的 原因 多 的 很 ! 而 要 完全 搞 懂 也 
不 是 一 件 人 简单 的 事 


情 呢 ! 不 过 ， 事 实 上 我 们 可 以 目 己 使 用 测试 软件 来 追踪 可 能 的 错误 原 
办， 而 很 多 的 网 


络 侦 测 指令 其 实在 Linux 里 头 已 经 都 预 设 存在 了 ， 只 要 你 好 好 的 学 一 
学 基本 的 侦 测 指 


令 ， 那 么 一 些 朋 友 在 告诉 你 如 何 侦 错 的 时 候 ， 你 应 该 就 立刻 可 以 知道 


还 有 些 重要 的 侦 测 指令 也 得 要 来 了 解 一 下 才 好 ! 


5.2.1 两 部 主机 两 点 沟通 : ping 

这 个 ping 是 很 重要 的 指令 ，ping 主要 透 过 ICMP 封包 来 进行 整个 网 络 
的 状况 报 

告 ， 当 然 啦 ， 最 重要 的 就 是 那个 ICMP type 0, 8 这 两 个 类 型 ， 分 别 是 
要 求 回 报 与 主 

动 回报 网 络 状态 是 否 存在 的 特性 。 要 特别 注意 的 是 ， ping 还 是 需要 透 


送 ICMP 封包 的 ， 而 I 了 PP 封包 里 面 有 个 相当 重要 的 TTL 属性 ， 这 是 很 
重要 的 一 个 路 由 


特性 ， 详细 的 卫 与 ICMP 表 头 资料 
纪 


Le 
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[root@www ~]# ping [选项 与 参数 ] IP 

选项 与 参数 : 

-Cc 数值， 后面 接 的 是 执行 ping 的 次 数 ， 例 如 -c 5; 

-n : 在 输出 数据 时 不 进行 IP 与 主机 名 的 反 查 ， 直 接 使 用 IP 输出 (速度 
较 快 ); 


-s 数值 ， 发 送出 去 的 ICMP 封包 大 小 ， 预 设 为 56bytes， 不 过 你 可 以 放 
天 二 


一 数值 ; 

-数值 : TITL 的 数值 ， 预 设 是 255， 每 经 过 一 个 节点 就 会 少 一 ; 

-W 数值 : 等 待 啊 应 对 方 主 机 的 秒 数 。 

-M [doldont] : 主要 在 侦 测 网 络 的 MTU 数值 大 小 ， 两 个 常见 的 项 目 


十 : 

do : 代表 传送 一 个 DF (Don't Fragment) 旗 标 ， 让 封包 不 能 重新 拆 包 与 
打包 |; 

dont: 代表 不 要 传送 DF 旗 标 ， 表 示 封 包 可 以 在 其 他 主机 上 拆 包 与 打包 


net.giang@hotmail.com 


# 范例 一 : 侦 测 一 下 168.95.1.1 这 部 DNS 主机 是 否 存在 ? 
[root@www ~]# ping -c 3 168.95.1.1 

PING 168.95.1.1 (168.95.1.1) 56(84) bytes of data. 

64 bytes from 168.95.1.1: icmp_seq=1l ttl=245 time=15.4 ms 


64 bytes from 168.95.1.1: icmp_seq=2 ttl=245 time=10.0 ms 


64 bytes from 168.95.1.1: icmp_seq=3 ttl=245 time=10.2 ms 
--- 168.95.1.1 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2047ms 
rtt min/avg/max/mdev = 10.056/11.910/15.453/2.506 ms 


ping 最 简单 的 功能 就 是 传送 ICMP 封包 去 要 求 对 方 主机 回应 是 否 存 在 
于 网 络 环境 中 ， 


上 面 的 啊 应 消 恩 当中 ， 几 个 重要 的 项 目 是 这 样 的 : 


D64 bytes: 表示 这 次 传送 的 ICMP 封包 大 小 为 64 bytes 这 么 大 ， 这 是 
默认 


值 ， 在 某 些 特殊 场合 中 ， 例 如 要 搜索 整个 网 络 内 最 大 的 MTU 时， 可 
以 使 用 -s 


2000 之 类 的 数值 来 取代 ; 
0 icmp_seq=1: ICMP 所 侦 测 进行 的 次 数 ， 第 一 次 编号 为 1 ; 


Dtt=243: TTL 与 IP 封包 内 的 TTL 是 相同 的 ， 每 经 过 一 个 带 有 MAC 
的 区 


所 (node) 时 ， 例 如 router, bridge 时 ， TTL 就 会 减少 一 ， 预 设 的 TTL 为 
255 ， 你 可 以 透 过 -t 150 之 类 的 方法 来 重新 设 定 预 设 TTL 数值 ; 


0 time=15.4 ms: 响应 时 间 ， 单 位 有 ms(0.001 秒 ) 及 us(0.000001 秒 )， 


般 来 说 ， 越 小 的 啊 应 时 间 ， 表 示 两 部 主机 之 间 的 网 络 联机 越 恨 好 ! 


和 那 束 得 要 使 用 [ctrlj-c 将 他 
疆 


i 


例题 : 
写 一 文 脚本 程序 ping.sh ， 透 过 这 文 脚 本 程序 ， 你 可 以 用 ping 侦 测 整 


个 网 域 的 主机 是 否 有 响应。 此 外 ， 每 部 主机 的 侦 测 仅 等 待 一 秒 钟 ， 也 
仅 侦 测 一 


次 。 


答 : 

由 于 仅 侦 测 一 次 且 等 待 一 秒 ， 因 此 ping 的 选项 为 ，-W1 -cl ， 而 位 于 
本 机 所 在 的 区 网 为 192.168.1.0/24 ， 所 以 可 以 这 样 写 (vim 
/root/bin/ping,.sh): 

#!/bin/bash 

for siteip in $(seq 1 254) 

do 

site="192.168.1.${siteip}" 

ping -cl -W1 ${site} &> /dev/null 

if ["$?" == "0" ]; then 
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echo "$site is UP" 

else 

echo "$site is DOWN" 


fi 


done 


特别 注意 一 下 ， 如 果 你 的 主机 与 待 侦 测 主机 并 不 在 同一 个 网 域内 ， 那 
么 TIL 预 设 使 用 


255 ， 如 有 果 是 同一 个 网 域内 ， 那 么 TTL 预 设 则 使 用 64 喔 ! 
用 ping 追踪 路 径 中 的 最 大 MTU 数值 
基础 里 面谈 到 加 大 讯 框 (frame) 时 ， 对 于 网 络 效能 


助 的 ， 因 为 封包 打包 的 次 数 会 减少 ， 加 上 如 琳 整 个 传输 的 媒体 都 能 够 


人 楼 及 区 个 


frame 而 不 需要 重新 进行 封包 的 拆 解 与 重组 的 话 ， 那 么 效能 当然 会 更 
好 ， 那 个 修 


改 frame 大 小 的 参数 殉 是 MIU 啦 ! 


好 了 ， 现 在 我 们 知道 网 络 卡 的 MTU 修改 可 以 透 过 ifconfig 或 者 是 p 等 


指令 


来 达成 ， 那 么 奶 踩 整个 网 络 传输 的 最 大 MTU 时 ， 又 该 如 何 查 询 ?” 呵 
呵 ! 最 简单 


的 方法 当然 是 透 过 ping 传送 一 个 大 封包 ， 并且 不 许 中 继 的 路 由 需 或 


Switch 
将 该 封包 重组 ， 那 就 能 够 处 理 啦 ! 没 销 ! 可 以 这 样 的 : 
# 范例 二 : 找 出 最 大 的 MTU 数值 


[root@www ~1# ping -c 2 -s 1000 -M do 192.168.1.254 


PING 192.168.1.254 (192.168.1.254) 1000(1028) bytes of data. 


1008 bytes from 192.168.1.254: icmp_seq=1 ttl=64 time=0.311 ms 


# 如 果 有 了 啊 应 ， 那 就 是 可 以 接受 这 个 封包 ， 如 果 无 啊 应 ， 那 就 表示 这 个 
MTU 大 


大 本 

[root@Owww~]#ping -c 2 -s 8000 -M do 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 8000(8028) bytes of data. 

From 192.168.1.100 icmp_seq=1 Frag needed and DF set (mtu = 1500) 
# 这 个 错误 讯息 是 说 ， 

本 地 端的 MTU 才 到 1500 而 已 ， 

你 要 侦 测 8000 的 MTU 


# 根本 就 是 无 法 达成 的 ! 那 要 如 何 是 好 ? 用 前 一 小 节 介 绍 的 ip link 来 进 
全 
MTU 设 定 吧 ! 


不 过 ， 你 需要 知道 的 是 ， 由 于 于 封包 表 类 (不 含 options) 就 已 经 占用 
20 


bytes ， 再 加 上 ICMP 的 表 头 有 8 bytes ， 所 以 当然 你 在 使 用 -s size 的 时 
候 ， 


那个 封包 的 大 小 就 得 要 先 扣除 (20+8=28) 的 大 小 了 。 因此 如 果 要 使 用 
MTU 为 


1500 时 ， 束 得 要 下 达 『 ping -s 1472 -M do xx.yy.Zzz.ip 」 才 行 啊 ! 


另外 ， 由 于 本 地 端的 网 络 卡 MTU 也 会 影响 到 侦 测 ， 所 以 如 果 想 要 侦 测 
整个 传输 


媒体 的 MTU 数值 ， 那 么 每 个 可 以 调整 的 主机 束 得 要 先 使 用 ifcofig 或 
ip pi 


将 MTU 调 大 ， 然 后 再 去 进行 侦 测 ， 否则 束 会 出 现 像 上 面 提供 的 案例 
一 样 ， 可 能 
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会 出 现 错误 讯息 的 ! 


不 过 这 个 MTU 不 要 随便 调整 啊 ! 除非 真 的 有 问题 。 通 闻 调 整 MTU 的 
时 间 和 是 在 这 


个 时 候 ; 
o 因为 全 部 的 主机 群 都 古 在 内 部 的 区 网 ， 例 如 从 集 架 构 (cluster) 的 


i Ws 
有 


MTU 来 增进 网 络 效 能 ; 
o 因为 操作 系统 默认 的 MTU 与 你 的 网 域 不 符 ， 导 致 菜 些 网 站 可 以 顺利 


联机 ， 某 些 网 站 则 无 法 联机 。 以 Windows 操作 系统 作为 联机 分 享 的 主 
机 


时 ， 在 Client 端 挺 容易 发 生 这 个 问题 ; 


如 果 是 要 连 上 Internet 的 主机 ， 注 意 不 要 随便 调整 MTU ， 因 为 我 们 无 
法 知道 


Internet 上 面 的 每 部 机 妮 能 够 双 持 的 MTU 到 多 大 ， 因 为 .…. 不 是 我 们 能 


够 管 


的 到 的 嘛 和 人 人! 另外 ， 其 实 每 种 联机 方式 都 有 不 同 的 MTU 值 ， 常 见 的 
各 种 接口 


的 MTU 值 分 别 为 : 


网 络 接口 

MTU 

Ethernet 

1500 

PPPoOE 

1492 

Dial-up(Modem) 

576 

5.2.2 两 主机 间 各 节点 分 析 : ”traceroute 


我 们 前 面谈 到 的 指令 大 多 数 都 是 针对 主机 的 网 络 参数 设 定 所 需要 的 ， 
而 ping 是 两 


部 主机 之 间 的 回声 与 否 判断 ， 那 么 有 没有 指令 可 以 追踪 两 部 主机 之 间 
通过 的 各 个 节 抬 


(node) 通讯 状况 的 好 坏 呢 ? 举例 来 说 ， 如 果 我 们 联机 到 yahoo 的 速度 比 
平常 慢 ， 你 觉 


得 是 (1) 自 己 的 网 络 环 境 有 问题 ? (2) 还 是 外 部 的 Internet 有 问题 ? 如 果 
是 (1) 的 


话 ， 我 们 当然 需要 检查 自己 的 网 络 环境 啊 ， 看 看 是 否 又 有 谁 中 毒 了 ? 
但 如 果 是 Internet 


的 问题 呢 ? 那 只 有 【等 等 等 上 啊 ! 判断 是 (1) 还 是 (2) 就 得 要 使 用 


traceroute 这 


个 指令 图 ! 


[root@www ~]# traceroute [选项 与 参数 ] IP 


选项 与 参数 : 

-n : 可 以 不 必 进 行 主机 的 名 称 解 析 ， 单 纯 用 IP ， 速 度 较 快 ! 

-U : 使 用 UDP 的 port 33434 来 进行 侦 测 ， 这 是 预 设 的 侦 测 协议 ; 
-I : 使 用 ICMP 的 方式 来 进行 侦 测 ; 
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-T : 使 用 TCP 来 进行 侦 测 ， 一 般 使 用 port 80 测试 

-w: 大 对 方 主机 在 几 秒 钟 内 没有 回声 承 宣 告 不 治 ... 预 设 是 5 秒 


-p 埋 号 : 若 不 想 使 用 UDP 与 TCP 的 预 设 埋 号 来 侦 测 ， 可 在 此 改变 埋 
= 


- 闭 置 : 用 在 比较 复杂 的 环境 ， 如 采 你 的 网 络 接口 很 多 很 复杂 时 ， 才 
用 到 


这 个 参数 ; 


举例 来 说 ， 你 有 两 条 ADSL 可 以 连接 到 外 部 ， 那 你 的 主机 会 有 两 个 


沙 


PPP ， 

你 可 以 使 用 -i 来 选择 是 ppp0 还 是 pppl 啦 ! 

-g 路 由 : 与 -i 的 参数 相仿 ， 只 是 -g 后 面 接 的 是 gateway 的 卫 束 是 了 。 
# 范例 一 : 侦 测 本 机 到 yahoo 去 的 各 节点 联机 状态 


[root@www ~]# traceroute -n tw.yahoo.com 
traceroute to tw.yahoo.com (119.160.246.241), 30 hops max, 40 byte 
packets 


1 192.168.1.254 0.279 ms 0.156 ms 0.169 ms 


2 172.20.168.254 0.430 ms 0.513 ms 0.409 ms 

3 10.40.1.1 0.996 ms 0.890 ms 1.042 ms 

4 203.72.191.85 0.942 ms 0.969 ms 0.951 ms 

5 211.20.206.58 1.360 ms 1.379 ms 1.355 ms 

6 203.75.72.90 1.123 ms 0.988 ms 1.086 ms 

7 220.128.24.22 11.238 ms 11.179 ms 11.128 ms 
8 220.128.1.82 12.456 ms 12.327 ms 12.221 ms 

9 220.128.3.149 8.062 ms 8.058 ms 7.990 ms 
10*** 

11 119.160.240.1 10.688 ms 10.590 ms 119.160.240.3 10.047 ms 
12 *** <== 可 能 有 防火 墙 北 置 等 情况 发 生 所 致 


这 个 traceroute 挺 有 意思 的 ， 这 个 指令 会 针对 欲 连 接 的 日 的 地 之 所 有 
node 进行 UDP 


的 逾 时 等 等， 例如 上 面 的 例子 当中 ， 由 乌 哥 的 主机 连接 到 Yahoo 时 ， 
仙 全 9 红 过 12 沾 


节点 以 上 ，traceroute 会 主动 的 对 这 12 个 世上 点 做 UDP 的 回声 等 每 ， 并 
侦 测 回复 的 时 


间 ， 每 世上 点 侦 测 三 人 次， 了 最 终 回 传 像 上 头 显示 的 结 末 。 你 可 以 发 现 每 个 
节 辟 其实 回 复 的 


时 间 大 约 在 50 ms 以 内 ， 算 是 还 可 以 的 Internet 环境 了 。 


比较 特殊 的 算是 第 10/12 个 ， 会 回 传 星 号 的 ， 代 表 该 node 可 能 设 有 某 
些 防 护 措 


施 ， 让 我 们 发 送 的 封包 信息 被 丢弃 所 致 。 因为 我 们 是 直 接 透 过 路 由 天 
转 递 封包 ， 并 没 


有 进入 路 由 妖 去 取得 路 由 需 的 使 用 资源 ， 所 以 某 些 路 由 怖 仅 文 持 封包 
转 递 ， 并 不 会 接 

受 来 和 目 客户 端的 各 项 侦 测 啦 ! 此 时 束 会 出 现 上 述 的 问题 。 因 为 
traceroute 预 设 使 用 


UDP 封包 ， 如 果 你 想 尝 试 使 用 其 他 封包 ， 那 么 -I 或 -T 可 以 试看 看 
虽 ! 


由 于 目前 UDP/ICMP 的 攻击 层出不穷 ， 因 此 很 多 路 由 絮 可 能 束 此 取消 
这 两 个 封包 的 


响应 功能 。 所 以 我 们 可 以 使 用 TCP 来 侦 测 哆 ! 例如 使 用 同样 的 方法 ， 


透 过 等 行 时 间 1 

秒 ， 以 及 TCP 80 塌 口 的 情况 下 ， 可 以 这 样 做 : 
net.qiang@hotmail.com 

名 

[root@www ~]#traceroute -w 1 -n -T tw.yahoo.com 
5.2.3 察看 本 机 的 网 络 联机 与 后 门 : netstat 


如 琳 你 觉得 你 的 芭 个 网 络 服务 明明 束 局 动 了 了， 但 古 束 是 无 法 造成 联机 
的 话 ， 那 么 应 


该 怎么 办 ? 百 移 你 应 该 要 查询 一 下 目 己 的 网 络 接口 所 监听 的 端口 口 
(port) 来 看 看 是 


否 真 的 有 启动 ， 因 为 有 时 候 屏 幕 上 面 显 示 的 [OK] 并 不 一 定 是 OK 啊 ! 


和 人 和 


[root@www ~]# netstat -[rn] <== 与 路 由 有 关 的 参数 


[root@www ~]# netstat -[antulpc] <== 与 网 络 接口 有 关 的 参数 
选项 与 参数 : 

与 路 由 (route) 有 关 的 参数 说 明 : 

-T: 列 出 路 由 表 (route table)， 功 能 如 同 route 这 个 指令 ; 

-n : 不 使 用 主机 名 与 服务 名 称 ， 使 用 IP 与 port number ， 如 同 route -n 
与 网 络 接口 有 关 的 参数 : 

-a : 列 出 所 有 的 联机 状态 ， 包 括 tcp/udp/unix socket 等 ; 

-t: 仅 列 出 TCP 封包 的 联机 ， 

-u : 仅 列 出 UDP 封包 的 联机 

-| : 仅 列 出 有 在 Listen (监听 ) 的 服务 之 网 络 状态 ; 

-p : 列 出 PID 与 Program 的 档 名 ; 


-C: 可 以 设 定 几 秒 钟 后 目 动 更 新 一 次 ,例如 -c 5 每 五 秒 更 新 一 次 网 络 
状态 


的 显示 ; 


# 范例 一 : 列 出 目前 的 路 由 表 状 态 ， 且 以 IP 及 port number 显示 : 


[root@www ~]# netstat -rn 

Kernel IP routing table 

Destination Gateway Genmask Flags MSS Window 
irtt Iface 


192.168.1.0 0.0.0.0 255.255.255.0U00 


0 eth0 

169.254.0.0 0.0.0.0 255.255.0.0U00 

0 eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 0 0 

0 eth0 

# 其 实 这 个 参数 就 跟 route -na 一 模 一 样 ， 对 吧 ! 这 不 是 netstat 的 主要 功 
能 啦 ! 


# 范例 二 : 列 出 目前 的 所 有 网 络 联机 状态 ， 使 用 IP 与 port number 


=F 


[root@www ~]# netstat -an 

Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
…( 中 辐 省 略 )..… 

net.giang@hotmail.com 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 

tcp 0 52 192.168.1.100:22 192.168.1.101:1937 
ESTABLISHED 

tcp 0 0 :::22 :::* LISTEN 

…( 中 辐 省 略 )..… 

Active UNIX domain sockets (servers and established) 


Proto RefCnt Flags Type State I-Node Path 


unix2[ ACC ] STREAM LISTENING 11075 
@/var/run/hald/dbus-uukdglqMPh 

unix2[ ACC ] STREAM LISTENING 10952 
/var/run/dbus/system_bus_socket 

unix2[ ACC |] STREAM LISTENING 11032 
/var/run/acpid.socket 

.…( 底 下 省 略 ).… 


netstat 的 输出 主要 分 为 两 大 部 分 ， 分 别 是 TCP/P 的 网 络 接口 部 分 ， 以 
及 传统 的 Unix 


socket 部 分 。 还 记得 我 们 在 基础 篇 里 面 曾 经 谈 到 档案 的 类 型 吗 ? 那个 
socket 与 


FIFO 档案 还 记得 吧 ? 那 就 是 在 Unix 接口 用 来 做 为 程序 数据 交流 的 接 
口 了 ， 也 吏 是 上 


头 表 格 内 看 到 的 Active Unix domain sockets 的 内 容 哎 一 


通 肖 乌 哥 都 是 建议 加 上 【mn 4 这 个 参数 的 ， 因 为 可 以 避 过 主机 名 与 服 
务 名 称 的 反 


查 ， 直 接 以 IP 及 端口 口号 码 (port number) 来 显示 ， 显 示 的 速度 上 会 快 
很 多 ! 至 于 


在 输出 的 讯息 当中 ， 我们 先 来 谈 一 谈 关 于 网 络 联 机 状态 的 输出 部 分 ， 
他 主要 是 分 为 底 


下 几 个 大 项 : 
D Proto: 该 联机 的 封包 协议 ， 主 要 为 TCP/UDP 等 封包 : 
DRecv-Q: 非 由 用 户 程序 连接 所 复制 而 来 的 总 bytes 数 ; 


nd-Q: 由 远程 主机 所 传送 而 来 ， 但 不 具有 ACK 标志 的 总 bytes 


指 主动 联机 SYN 或 其 他 标志 的 封包 所 占 的 bytes 数 ; 
D Local Address: 本 地 端的 地 址 ， 可 以 是 IP (-n 参数 存在 时 )， 也 可 以 


证 


完整 的 主机 名 。 使 用 的 格 是 就 是 『 IP:port 只 是 IP 的 格式 有 IPv4 及 
IPv6 


的 差异 。 如 上 所 示 ， 在 port 22 的 接口 中 ,使 用 的 :::22 就 古 针 对 IPv6 
的 


显示 ， 事 实 上 他 就 相同 于 0.0.0.0:22 的 意思 。 至 于 port 25 仅 针 对 lo 接 
口 


开放 ， 意 指 Internet 基本 上 是 无 法 连接 到 我 本 机 的 25 埋 口 啦 ! 

吕 Foreign Address: 远程 的 主机 IP 与 port number 

0 stat， 状 态 栏 ， 主 要 的 状态 含有 : 

0 ESTABLISED: 已 建立 联机 的 状态 : 

0 SYN_SENT: 发 出 主动 联机 (SYN 标志 ) 的 联机 封包 ，; 

0 SYN_RECV: 接收 到 一 个 要 求 联 机 的 主动 联机 封包 ; 

o FIN_WAIT1: 该 插 槽 服务 (socket) 已 中 断 ， 该 联机 正在 断 线 当 中 : 

o FIN_WAIT2: 该 联机 已 挂 断 ， 但 正在 等 得 对 方 主机 响应 断 线 确认 的 在 
包 ; 

o TIME_WAIT: 该 联机 已 挂 断 ， 但 socket 还 在 网 络 上 等 待 结束 


oLISTEN: 通常 用 在 服务 的 监听 port ! 可 使 用 『 -14 参数 查阅 。 


net.qiang@Ohotmail.com 


基本 上 ， 我 们 利 单 谈 到 的 netstat 的 功能 ， 束 是 在 观察 网 络 的 联机 状态 
了 ， 而 网 


络 联机 状态 中 ， 又 以 观察 了 我 目前 开 了 多 少 的 port 在 等 待 客户 端的 联 
机 J 以 及 『 目 


前 我 的 网 络 联 机 状态 中 ， 有 和 多少 联机 已 建立 或 产生 问题 最 常见 。 那 
你 如 何 了 解 与 观 


察 呢 ? 通 弟 马 哥 是 这 样 处 理 的 : 


# 范例 三 : 秀 出 目前 已 经 局 动 的 网 络 服务 


[root@www ~]# netstat -tulnp 

Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:34796 0.0.0.0:* LISTEN 
987/rpc.statd 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 
969/rpcbind 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 
1231/master 

tcp 0 0 :22 :::* LISTEN 


1155/sshd 


udp 0 0 0.0.0.0:111 0.0.0.0:* 
969/rpcbind 

.…( 底 下 省 略 ).… 

# 上 面 最 重要 的 其 实 是 那个 -1 的 参数 ， 因 为 可 以 仅 列 出 有 在 Listen 的 


port 


你 可 以 发 现 很 多 的 网 络 服务 其 实 仅 针 对 本 机 的 lo 开放 而 已 ， 因 特 网 是 
连接 不 到 该 埋 口 


与 服务 的 。 而 由 上 述 的 数据 我 们 也 可 以 看 到 ， 局 动 port 111 的 ， 其 实 
就 是 rpcbind 那 


只 程序 ， 那 如 果 想 要 关闭 这 个 塌 口 ， 你 可 以 使 用 kill 删除 PID 969， 也 
可 以 使 用 


killall 删除 rpcbind 这 个 程序 即 可 。 如 此 一 来 ， 很 轻松 的 你 就 能 知道 哪 
个 程序 启动 


了 哪些 闻 口 口 哎 ! 
# 范例 四 : 观察 本 机 上 头 所 有 的 网 络 联机 状态 


[root@www ~]#netstat -atunp 

Active Internet connections (servers and established) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

969/rpcbind 


tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 


1155/sshd 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 
1231/master 

tcp 0 52 192.168.1.100:22 192.168.1.101:1937 
ESTABLISHED 4716/0 
net.giang@hotmail.com 
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(底下 省 略 ).…. 


看 到 上 头 的 特殊 字体 吧 ? 那 代 表 目 前 已 经 建立 联机 的 一 条 网 络 联机 ， 
他 是 由 远程 主机 


192.168.1.101 局 动 一 个 大 于 1024 的 坦 口 同 本 地 病 主 机 192.168.1.100 的 
port 22 


进行 的 一 条 联机 ， 你 必须 要 想起 来 的 是 : 『Client 端 是 随机 取 一 个 大 
于 1024 以 上 的 


port 进行 联机 2， 此 外 『 只 有 root 可 以 启动 小 于 1024 以 下 的 port J， 
那 束 看 的 


懂 上 头 那 条 联机 吻 ! 如 果 这 条 联机 你 想 要 侈 挥 他 的 话 ， 看 到 最 右边 的 
4716 了 没 ? 


kill 会 用 吧 ! 信人 人 


至 于 传统 的 Unix socket 的 数据 ， 记 得 使 用 man netstat 查阅 一 下 吧 ! 这 


个 Unix 


通常 是 用 在 一 些 仅 在 本 机 上 运作 的 程序 所 开局 的 揪 模 接口 文件 ， 
列 如 和 


Window 不 都 是 在 本 机 上 运作 而 已 吗 ? 那 何必 局 动 网 络 的 port 呢 ? 当然 
可 以 使 用 


Unix socket 史 ， 男 外 ， 例 如 Postfix 这 一 类 的 网 络 服务 器， 由 于 很 多 动 
作 都 是 在 本 


机 上 头 来 完成 的 ， 所 以 以 会 占用 很 多 的 Unix socket 嘱 ! 
例题 : 

请 说 明 服务 名 称 与 port number 的 对 应 在 Linux 当中 ， 是 用 那个 档案 来 
设 定 对 应 的 ? 

答 

/etc/services 


5.2.4 侦 测 主机 名 与 IP 对 应 :host nslookup 
天 于 主机 名 与 卫 的 对 应 中 ， 我 们 主要 介绍 的 是 DNS 客户 端 功能 的 dig 


这 个 指令 


不 过 除了 这 个 指令 之 外 ， 其 实 还 有 两 个 更 简单 的 指令 ， 那 殉 是 host 与 
nslookup 啤 ! 


夺 下 让 我 们 来 聊 聊 这 两 个 指令 吧 ! 

0 

host 

这 个 指令 可 以 用 来 碍 出 某 个 主机 名 的 耳 喔 ! 举例 来 说 ， 我 们 想 要 知道 


tw.yahoo.com 的 IP 时， 可 以 这 样 做 : 


[root@www ~]# host [-a] hostname [server] 


选项 与 参数 


-a: 列 出 该 主机 详细 的 各 项 主机 名 设 定 数据 

[server] : 可 以 使 用 非 为 /etc/resolv.conf 的 DNS 服务 器 IP 来 查询 。 
# 范例 一 : 列 出 tw.yahoo.com 的 IP 

[root@www ~]# host tw.yahoo.com 

net.giang@hotmail.com 

tw.yahoo.com is an alias for tw-cidr.fyap.b.yahoo.com. 
tw-cidr.fyap.b.yahoo.com is an alias for tw-tpe-fo.fyap.b.yahoo.com. 
tw-tpe-fo.fyap.b.yahoo.com has address 119.160.246.241 


瞧 ! IP 是 119.160.246.241 啊 ! 很 简单 束 可 以 查询 到 PP 了 ! 那么 这 个 IP 
是 向 谁 查 


询 的 呢 ? 其 实 束 是 写 在 /etc/resolv.conf 那个 档案 内 的 DNS 服务 器 了 
啦 ! 如 果 不 


想 要 使 用 该 档案 内 的 主机 来 得 询 ， 也 可 以 这 样 做 : 


[root@www ~]#host tw.yahoo.com 168.95.1.1 

Using domain server: 

Name: 168.95.1.1 

Address: 168.95.1.1#53 

Aliases: 

tw.yahoo.com is an alias for tw-cidr.fyap.b.yahoo.com. 
tw-cidr.fyap.b.yahoo.com is an alias for tw-tpe-fo.fyap.b.yahoo.com. 


tw-tpe-fo.fyap.b.yahoo.com has address 119.160.246.241 


会 告诉 我 们 所 使 用 来 查询 的 主机 是 哪 一 部 呐 ! 这 样 束 够 清楚 了 吧 ! 不 
过 ， 表 怎么 清楚 也 


比 不 过 dig 这 个 指令 的 ， 所 以 这 个 指令 仅 是 参考 参考 图 ! 
0 


nslookup 


dk 途 与 host 基本 上 是 一 样 的 ， 就 是 用 来 作为 IP 与 主机 名 对 
的 检查 


同样 是 使 用 /etc/resolv.conf 这 个 档案 来 作为 DNS 服务 器 的 来 源 选 择 


[root@www ~]# nslookup [-query=[type]] [hostnamelIP] 
选项 与 参数 ; 


-query=type: 查询 的 类 型 ， 除 了 传统 的 IP 与 主机 名 对 应 外 ，DNS 还 有 
很 多 


信息 ， 

所 以 我 们 可 以 查询 很 多 不 同 的 信息 ， 包 括 mx, cname 等 等 ， 
例如 :”-query=mx 的 查询 方法 ! 

# 范例 一 : 找 出 www.google.com 的 IP 

[root@www ~]# nslookup www.google.com 

Server: 168.95.1.1 

Address: 168.95.1.1#53 

Non-authoritative answer: 


net.giang@hotmail.com 


0 
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www.google.com canonical name = www.l.google.com. 
Name: www.l.google.com 

Address: 74.125.71.106 

…( 压 下 省 略 )..… 

# 范例 二 : 找 出 168.95.1.1 的 主机 名 

[root@www ~]#nslookup 168.95.1.1 

Server: 168.95.1.1 


Address: 168.95.1.1#53 


1.1.95.168.in-addr.arpa name = dns.hinet.net. 


如 何 ， 看 起 来 与 host 差不多 吧 ! 不 过 ， 这 个 nslookup 还 可 以 由 IP 找 出 
主机 名 喔 ! 


例如 那个 范例 二 ， 他 的 主机 名 是 : dns.hinet.net 哩 ! 目前 大 家 都 建议 使 
用 dig 这 个 


指令 来 取代 nslookup ， 我 们 会 在 第 士 九 章 DNS 服务 器 那 时 再 3 谈 
一 谈 吧 | 


5.3 远程 联机 指令 与 实时 通讯 软件 


啥 是 远程 联机 呢 ? 其 实 束 是 在 不 同 的 计算 机 之 间 进 行 登入 的 情况 啦 ! 
我 们 可 以 透 过 


telnet, ssh 或 者 是 ftp 等 协议 来 进行 远程 主机 的 登入 。 故 下 我 们 就 分 别 来 


介绍 一 下 


这 些 基本 的 指令 吧 ! 这 里 仅 生 谈 到 客户 端 功能 喔 ， 相关 的 服务 夯 我 们 
则 会 在 后 续 进 行 


说 明 的 。 
5.3.1 终端 机 与 BBS 联机 : ”telnet 


telnet 是 早期 我 们 在 个 人 计算 机 上 面 要 链接 到 服务 如 工作 时 ， 最 重要 的 
一 个 软件 


了 ! 他 不 但 可 以 直接 连接 到 服务 袁 上 头 ， 还 可 以 用 来 连结 BBS 呢 ! 非 
常 棒 ! 不 过 ， 


telnet 本 喘 的 数据 在 传送 的 时 候 是 使 用 明码 (原始 的 数据 ， 没 有 加 密 ) ， 
所 以 数据 在 


Internet 上 面 跑 的 时 候 ， 会 比较 危险 一 点 ( 束 介 被 别人 监听 啊 )。 更 详细 
的 资料 我 们 


全 在 第 十 一 章 远 程 于 务 器 内 做 介绍 的 。 
[root@www ~ ]# telnet [host|lIP [port]] 


# 范例 一 : 连结 到 台湾 相当 热门 的 PTT BBS 站 ptt.cc 


[root@www ~]# yum install telnet <== 默 认 没 有 安装 这 软件 
[root@www ~]#telnet ptt.cc 


欢迎 来 到 批 跑 踢 实业 坊 目前 有 【100118】 名 使 用 者 与 您 一 同 对 抗 炎炎 
收 


net.giang@hotmail.com 

日 。 

请 输入 代号 ， 或 以 guest 参观 ， 或 以 new 注册 : 

[高 手 召 集 令 ] 台湾 黑客 年 会 团 假 与 你 驴 翻 南港 
http://reg.hitcon.org/hit2011 

要 学 计算 机 ， 首 选 台湾 大 学 信息 训练 班 ! http:/tinyurl.com/3z42apw 


如 上 所 示 ， 我 们 可 以 透 过 telnet 轻易 的 连结 到 BBS 上 面 ， 而 如 果 你 的 
主机 有 开局 


telnet 服务 器 服务 的 话 ， 同 样 的 利用 【telnet IP 4 并且 输 入 账号 与 密码 
之 后 ， 束 能 


够 登入 主机 了 。 男 外 ， 在 Linux 上 的 telnet 软件 还 提供 了 Kerberos 的 
Wh, 


有 兴趣 的 话 请 目 行 参阅 man telnet 的 说 明 。 


除了 连结 到 服务 器 以 及 连结 到 BBS 站 之 外 ，telnet 还 可 以 用 来 连结 到 
某 个 port 


(服务 ) 上 头 呐 ! 举例 来 说 ， 我 们 可 以 用 telnet 连接 到 port 110 ， 看 看 这 


个 port 是 

否 有 正确 的 启动 呢 ? 

# 范例 二 : 侦 测 本 机 端的 110 这 个 port 是 否 正确 启动 ? 
[root@www ~ ]# telnet localhost 110 

Trying 127.0.0.1... 


telnet: connect to address 127.0.0.1: Connection refused 


# 如 果 出 现 这 样 的 讯息 ， 代 表 这 个 port 没有 启动 或 者 是 这 个 联机 有 问 


题 ， 

# 因为 你 看 到 那个 refused 嘛 ! 
[root@www ~ |]# telnet localhost 25 
Trying ::1... 

Connected to localhost. 

Escape character is 'A\]'. 

220 www.centos.vbird ESMTP Postfix 
ehlo localhost 
250-www.centos.vbird 
250-PIPELINING 

250-SIZE 10240000 

…( 中 间 省 略 )..… 


250 DSN 


quit 
221 2.0.0 Bye 
Connection closed by foreign host. 


瞧 ! 根据 输出 的 结 采 ， 我 们 就 能 够 知道 这 个 通讯 协议 (port number 提供 
的 通讯 协议 功 


能 ) 是 否 有 成 功 的 局 动 呐 ! 而 在 每 个 port 所 监听 的 服务 都 有 其 特殊 的 
指令 ， 例 如 上 


述 的 port 25 就 古 在 本 机 接口 所 提供 的 电子 邮件 服务 ， 那 个 服务 所 支持 
的 指令 束 如 同 


上 面 使 用 的 数据 一 样 ， 但 十 其 他 的 port 殊 不 见得 文 持 这 个 『 ehlo 4 的 


不 同 的 port 有 不 同 的 程序 嘛 ! 所 以 当然 支持 的 命令 就 不 同 喝 ! 
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O 

5.3.2 FTP 联机 软件 : ftp, lftp 

现在 的 人 们 由 于 有 高 容量 的 email 可 以 用 ， 因 此 传送 档案 可 以 很 轻松 的 


email 。 不 过 email 还 是 有 单 封 信件 容量 限制 ， 如 果 想 要 一 口气 传送 个 
几 百 MB 的 档 


案 ， 恐 怕 还 是 得 要 透 过 FTP 这 个 通讯 协议 才 行 啊 ! 文字 接口 的 FTP 软 
件 主要 有 ftp， 


lftp 两 个 ， 图 形 接口 的 呢 ? 在 CentOS 上 面 预 设 有 gftp 这 个 好 用 的 东 
东 。 在 这 里 我 


们 仅 介 绍 文字 接口 的 两 个 指令 而 已 。 
ftp 


ftp 这 个 指令 很 简单 ， 用 在 处 理 FTP 服务 器 的 下 载 数据 啦 。 由 于 乌 哥 所 
在 的 位 置 


在 昆山 科大 ， 因 此 这 里 使 用 昆山 科大 的 FTP 服务 三 为 例 : 
[root@www ~]# ftp [hostIIP] [port] 

# 范例 一 : 联机 到 昆山 科大 去 看 看 

[root@www ~]# yum install ftp 

[root@www ~]# ftp ftp.ksu.edu.tw 


Connected to ftp.ksu.edu.tw (120.114.150.21). 


220-You are user number 1 of 50 allowed. 
220-Local time is now 16:25. Server port: 21. 


220-Only anonymous FTP is allowed here <== 讯 居 要 看 啊 ! 这 个 FTP 仅 
2 


援 匿名 

220-IPv6 connections are also welcome on this server. 

220 You will be disconnected after 5 minutes of inactivity. 

Name (ftp.ksu.edu.tw:root): anonymous <== 乌 哥 这 里 用 匿名 登录 ! 


230 Anonymous user logged in <== 咽 1! 确实 是 匿名 登录 了 ! 


Remote System type is UNIX. 

Using binary mode to transfer files. 

ftp> <== 最 终 登 入 的 结果 看 起 来 是 这 样 ! 

ftp> help <== 提 供需 要 的 指令 说 明 ， 可 以 常 参考 ! 

ftp> dir <== 显 示 远 程 服务 器 的 目 孙 内 容 (文件 名 列表 ) 
ftp> cd /pub <== 变 换 目 杂 到 /pub 当中 

ftp> get filename <== 下 载 单一 档案 ， 档 名 为 flename 
ftp> mget filename* <== 下 载 多 个 档案 ， 可 使 用 通配符 * 
ftp> put filename <== 上 传 flename 这 个 档案 到 服务 器 上 


ftp> delete file <== 删 除 主 机 上 的 旬 e 这 个 档案 
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ftp> mkdir dir <== 建 立 dir 这 个 目录 

ftp> lcd /home <== 切 换 『 本 地 冰 主 机 4 的 工作 目录 
ftp> passive <== 局 动 或 关闭 passive 模式 

ftp> binary <== 数 据 传 输 模 式 设 定 为 binary 格式 
ftp> bye <== 结 束 ftp 软件 的 使 用 


FTP 其 实 算是 一 个 很 及 烦 的 协议 ， 因 为 他 使 用 两 个 port 分 别 进行 命令 
与 数据 的 交流 ， 

详细 的 数据 我 们 会 在 第 二 十 一 章 的 FTP 服务 器 内 详 谈 ， 这 里 我 们 移 单 
纯 的 介绍 一 下 如 


何 使 用 ftp 这 个 软件 。 首 和 我 们 当然 是 需要 登入 昭 ， 所 以 在 上 头 的 表格 
当中 我 们 当然 


需要 填 入 账号 与 密码 了 “。 不 过 由 于 昆山 科大 仅 提 供 匿名 登录 ， 而 匿名 
登录 着 的 账号 束 是 


『 anonymous 4 所 以 直接 填写 那个 账号 即 可 。 如 有 果 是 私人 的 FTP 时 ， 
才 需 要 提供 一 组 


完整 的 账号 与 密码 啦 ! 


登入 FTP 主机 后 ， 丈 能够 使 用 ftp 软件 的 功能 进行 上 传 与 下 载 的 动作 ， 
儿 个 常用 


的 ftp 内 指令 如 上 表 ， 不 过 ， 乌 哥 建议 你 可 以 连 到 大 学 的 FTP 网 站 后 ， 
使 用 help (或 


问号 ?) 来 参考 可 用 的 指令 ， 然 后 笑 试 下 载 以 测试 使 用 一 下 这 个 指令 
吧 ! 这 样 以 后 没有 


浏览 器 的 上 时候， 你 也 可 以 到 ftp 下载 了 呢 ! 不 错 吧 ! 另外 你 要 注意 的 
是 ， 离 开 ftp 软 


件 时 ， 得 要 输入 【byed 喔 ! 不 是 TexitJ 啦 ! 


如 条 由 于 菜 些 理由 ， 让 你 的 FTP 主机 的 port 开 在 非 正 规 的 塌 口 时 ， 那 
你 束 可 以 


利用 旗下 的 方式 来 连接 到 该 部 主机 喔 ! 


[root@www ~]# ftp hostname 318 

# 假设 对 方 主机 的 ftp 服务 开启 在 318 这 个 port 啊 ! 
0 

lftp (自动 化 脚本 ) 


单纯 使 用 ftp 总 是 觉得 很 太 烦 ， 有 没有 更 快速 的 ftp 用 户 软件 呢 ? 让 我 
们 可 以 使 


用 类 似 网 址 列 的 方式 来 登入 FTP 服务 器 啊 ? 有 的 ， 那 就 是 lftp 的 功能 
了 ! lftp 预 


设 使 用 匿名 登录 FTP 服务 右 ， 可 以 使 用 类 似 网 址 列 的 方式 取得 数据 ， 
使 用 上 比 单纯 的 


ftp 要 好 用 些 。 此 外 ， 由 于 可 在 指令 列 输入 账号 /密码 ， 可 以 辅助 进行 程 
序 脚本 的 设计 


喔 ! 

[root@www ~]# lftp [-p port] [-u user[,pass]] [hostIIP] 

[root@www ~]# lftp -f filename 

[root@www ~]# lftp -c "commands" 

选项 与 参数 : 

-p : 后 面 可 以 直接 接 上 远程 FTP 主机 提供 的 port 
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-u : 后 面 则 是 接 上 账号 与 密码 ， 束 能 够 连接 上 远程 主机 了 

如 有 果 没 有 加 账号 密码 ， lftp 默认 会 使 用 anonymous 党 试 匿名 登录 
-f: 可 以 将 指令 写 入 脚本 中 ， 这 样 可 以 帮助 进行 shell script 的 目 动 处 理 
喔 ! 

-C: 后 面 直接 加 上 所 需要 的 指令 。 

# 并 例 一 : 利用 lftp 登入 昆山 科大 的 FTP 服务 丹 


[root@www ~]# yum install lftp 


[root@www ~]# lftp ftp.ksu.edu.tw 
lftp ftp.ksu.edu.tw:~> 


# 瞧 ! 一 下 子 束 登 入 了 ! 很 快乐 吧 ! 人 人! 你 同样 可 使 用 help 去 查阅 相 
天 内 


至 于 登入 FTP 主机 后 ， 一 样 可 以 使 用 『helpJ 来 显示 出 可 以 执行 的 指 
令 , 与 ftp 很 类 


似 啦 ! 不 过 多 了 书签 的 功能 ， 而 且 也 非常 的 类 似 bash 呐 ! 很 不 错 吻 ! 
除了 这 个 好 用 的 


文字 接口 的 FTP 软件 之 外 ， 事 实 上 还 有 很 多 图 形 接口 的 好 用 软件 呢 ! 
最 利 见 的 束 是 


gftp 了 ， 非 常 的 容易 上 手 喔 ! CentOS 本 吴 就 有 提供 gftp 了 ， 你 可 以 拿 
出 原版 的 光 


盘 来 安装 ， 然 后 进入 又 Window 后 ， 启动 一 个 shell ， 输 入 『 gftp 4 就 
能 够 发 现 他 


的 好 用 啦 | 


如 果 你 想 要 定时 的 去 捉 下 昆山 科大 FTP 网 站 下 的 /pub/CentOS/RPM- 
GPG* 的 档案 


时 ， 那 么 那个 脚本 应 该 要 怎么 写 呢 ? 我 们 笑 试 来 写 写 看 吧 ! 
# 使 用 档案 配合 lftp 去 处 理 时 : 


[root@www ~]# mkdir lftp; cd lftp 


[root@www lftp]# vim lftp.ksu.sh 


open ftp.ksu.edu.tw 


cd /pub/CentOS/ 

mget -c -d RPM-GPG* 

bye 

[root@www lftp]# lftp -f lftp.ksu.sh 

[root@www lftp]# ls 

lftp.ksu.sh RPM-GPG-KEY-CentOS-3 RPM-GPG-KEY-CentOS-4 
RPM-GPG-KEY-CentOS-6 

RPM-GPG-KEY-beta RPM-GPG-KEY-centos4 RPM-GPG-KEY-CentOS-5 
# 直接 将 要 处 理 的 动作 加 入 lftp 指令 中 

[root@www lftp]# vim lftp.ksu.sh 

lftp -c "open ftp.ksu.edu.tw 

cd /pub/CentOS/ 

mget -c -d RPM-GPG* 

bye" 

[root@www lftp]# sh lftp.ksu.sh 
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获 迎 使 用 Pidgin! 


您 尚未 设 定性 何 即 时 通讯 的 帐号 。 要 使 用 Pidgin 来 通讯 ， 请 先 按 下 面 
的 「 新 增 」 按 纽 ， 青 朗 定 好 您 的 帐号 即 本。 如 果 您 希 起 Pidgin 使 用 多 
pr 


您 如 果 希 起 新 增 、 修改 或 删除 帐 线 ， 只 要 透 过 好 友 请 章 上 的 「 帐 线 = 
管理 帐号 」 指 令 ， 即 可 返 回 这 司 如 面 。 


| x 天 并 


知 为 非 匿名 登录 时 ， 则 可 以 使 用 『 open -u username,password hostname 
了 修改 


lftp.ksu.sh 的 第 一 行 ! 如 果 再 将 这 个 脚本 写 入 crontab 当中 ， 你 就 可 以 
定时 的 以 


FTP 进行 上 传 /下 载 的 功能 哆 ! 这 如 是 文字 指令 的 好 处 ! 
5.3.3 图 形 接口 的 实时 通讯 软件 : pidgin (gaim 的 延伸 ) 


现在 应 该 大 家 都 知道 什么 是 MSN, 雅虎 实时 通 以 及 其 他 的 通讯 软件 
吧 ? 那么 要 连 


上 这 些 服 务 器 时 ， 该 怎么 处 理 哪 ? 很 简单 ， 在 X Window 底下 使 用 
pidgin 就 好 了 ! 简 


直 简 单 到 不 行 一 请 先进 入 X Window 系统 ， 然 后 经 过 『 应 用 程序 4--> 
『 因特网 J --> 


『Pidgin 网 络 实 时 通 J 启动 他 即 可 (请 注意 你 必须 已 经 安装 了 pidgin 
了 ， 可 用 yum 


install pidgin 人 处理) 。 

不 过 ， 伤 脑筋 的 是 ， 我 们 所 安装 的 basic server 类 型 的 CentOS 6.x 主要 
做 为 服 

务 器 之 用 ， 所 以 连 图 形 接 口 也 没有 给 我 们 。 所 以 ， 乌 哥 又 用 另外 一 部 
主机 安装 成 


Desktop 的 模式 ， 利 用 该 部 主机 来 测试 pidgin 这 玩意 儿 的 ! 因此 ， 瓜 
下 的 练习 你 也 


可 以 移 略 过 ， 等 到 你 安装 另 一 部 Desktop linux 时 再 来 玩 玩 ! 
图 5.3-1、pidgin 的 欢迎 画面 
在 上 图 中 按 下 『 新 增 」 ， 然 后 你 会 看 到 如 下 的 画面 : 
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基本 设 定 介 ) | 进 隐 诊 定 ty | 代理 伺服 器 他》 


登 人 选项 
通讯 协定 : 
使 用 者 届 ) : 
密 确 忆 ) : 
口 记 住 密码 Ww 
使 用 者 自 定 选项 
帐号 别名 【只 在 本 楼 生 效 ) 山 ) : 
口 新 邮件 通知 {4M) 
口 使 用 下 烈 好 点 图 示 由 : 


访 AIM 
$3 Bonjour 
全 Gadu-Gadu 
| 2W Google Talk 
加 GroupWise 
萝 IcQ 
RC 

MSN 
MXit 
BY MySpacelM 
鳃 QQ 
| JSILC 


党 Sametime 
又 XMPP 
到 Yahoo 


图 5.3-2、pidgin 文 持 的 实时 通讯 数据 


很 神奇 的 是 ， pidgin 文 持 的 通讯 有 够 多 的 ! 我 们 使 用 MSN 来 作 个 解释 


好 本， 
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基本 讼 定 (B) | 进 铝 设 定 A | 代理 伺服 器 红 ) 
登入 选项 
通讯 协定 (D : 


人 有 者: 


密码 忆 ) : 


口 记 住 密码 Ww) 
使 用 者 上 自 定 选项 
帐 颖 别名 【只 在 本 楼 生效 ) 业 ) : 
口 新 邮件 通知 对) 
口 合用 下 列 好 友 图 示 册 : 


图 5.3-3、 设 定 MSN 的 账号 示意 


如 上 图 ， 在 画面 中 输入 你 的 账号 与 密码 ， 如 果 是 在 公用 的 计算 机 上 ， 
二 不 要 人 下 


『 记 住 密码 」 项 目 喔 ! 按 下 新 增 后 ， pidgin 预 设 就 会 尝试 登入 了 ! 登 
入 后 的 画面 如 下 


所 示 : 
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好 友 介 帐 吓人 工具 中 说 明 欠 


外 cathy~ 


外 Tim 
@ Vicky 


交谈 (C》 选项 四) 但 寺 到 局) 
© Novia~ 


图 5.3-4、 使 用 pidgin 的 MSN 方式 进行 连天 鹃 


如 果 想 要 注销 了 ， 那 么 就 按 下 图 5.3-4 最 右边 那个 窗口 ， 将 『 启 动 的 
那个 方 框 


义 选 取消 ， 你 束 直 接 注 销 哆 ! 
5.4 文字 接口 网 页 浏览 


什么 ? 文字 界面 竟然 有 浏览 右 ! 别 喜 了 好 不 好 ? 呵呵 ! 谁 有 那个 时 间 
在 过 你 哆 ! 真 


的 啦 ! 有 这 个 东西 ， 是 在 文字 界面 下 上 网 浏览 的 好 工具 ! 分 别 是 links 
及 wget 这 两 


个 宝贝 蛋 ， 但 是 ， 你 必需 要 确定 你 已 经 安装 了 这 两 个 套件 才 行 。 好 佳 
在 的 是 ，CentOS 预 


~ L 都 有 安装 喔 ! 底下 就 让 我 们 来 聊 一 聊 这 两 个 好 用 的 家 
火 吧 | 


5.4.1 文字 浏览 器 : links 
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\ ro0t1@ www :~ lftp [75x23] 


人 鸟 哥 最 常 使 用 的 是 lynx 这 个 文字 浏览 器 ， 不 过 CentOS 从 5.x 
以 后 黑 


认 使 用 的 文字 浏览 磊 是 links 这 一 文 ， 这 两 文 的 使 用 方式 叉 非常 的 类 
似 ， 因 此 ， 在 这 


一 版 当中 ， 我 们 残 仅 介绍 links 嗓 ! 大 对 lynx 有 兴趣 的 话 ， 目 己 man 
一 下 吧 ! 


这 个 指令 可 以 让 我 们 来 浏览 网 页 ， 但 马 哥 认 为 ， 这 个 档案 最 大 的 功能 
年 在 了 查阅 


Linux 本 机 上 面 以 HTML 语法 写成 的 文件 数据 (document)4 怎么 说 
呢 ? 如 有 果 你 曾经 到 


Linux 本 机 底下 的 /usr/share/doc 这 个 目录 看 过 文件 数据 的 话 ， 束 会 名 
党 发 现 一 些 


网 页 档案 ， 使 用 vi 去 查阅 时 ， 老 是 看 到 一 堆 HTML 的 语法 ! 有 碍 阅读 
啊 ~ 这 时 候 使 


用 links 就 是 个 好 方法 啦 ! 可 以 看 的 清 清 楚楚 啊 ! 和信 

[root@www ~ |]# links [options] [URL] 

选项 与 参数 : 

-anonymous [0|1]: 是 否 使 用 匿名 登录 的 意思 ，; 

-dump [0|1] : 是 否 将 网 页 的 数据 直接 输出 到 standard out 而 非 links 
软件 功能 


-dump_charset : 后 面 接 想 要 透 过 dump 输出 到 屏幕 的 语系 编码 ，big5 
使 


用 cp950 喔 


# 范例 一 : 浏 贞 Linux kernel 网 站 
[root@www ~1# links http://www.kernel.org 
当 我 直接 输入 links 网 站 网 址 后 ， 束 会 出 现 如 下 的 图 示 : 


图 5.4-1、 使 用 links 查询 网 页 数据 的 显示 结 


上 面 这 个 画面 的 基本 说 明 如 下 : 
net.qiang@Ohotmail.com 


由 于 是 文字 型 态 ， 所 以 编排 可 能 会 有 点 位 移 ! 不 过 不 
J 


不 会 影响 我 们 看 吃 噬 ! 
吕 这 个 时 候 可 以 使 用 『 上 下 键 4 来 让 光标 在 上 面 的 选项 当中 (如 信箱 、 


书签 等 


等 的 )， 按 下 Enter 就 进入 该 页 面 

0 可 以 使 用 『 左 右键 」 来 移动 『 上 一 页 或 下 一 页 J 
0 一些 常 见 功能 按键 : 

oh: history ， 曾 经 浏览 过 的 URL 就 显示 到 画面 中 


0 g: Goto URL， 按 g 后 输入 网 页 地 址 (URL) 如 :http://www.abc.edu/ 


0 d: download， 将 该 链接 数据 下 载 到 本 机 成 为 档案 ; 

0 q: Quit， 离 开 links 这 个 软件 ; 

0 0: Option， 进 入 功能 参数 的 设 定 值 修改 中 ， 最 终 可 写 入 
~/.elinks/elinks.conf 中 

0 Ctrl+C : 强迫 切断 links 的 执行 。 

o 箭头 键 : 

0 上 : 移动 光标 至 本 页 中 "上 一 个 可 连结 点 ". 

0 下 : 移动 光标 至 本 页 中 "下 一 个 可 连结 点 " 


0 左 : back. 跳 回 上 一 页 . 

D 右 : 进入 反 白光 标 所 链接 之 网 页 . 

0 ENTER 同 鼠 标 " 右 " 键 . 

至 于 如 末 是 浏览 Linux 本 机 上 面 的 网 页 档案 ， 那 就 可 以 使 用 如 下 的 方 


式 : 
[root@www ~]# links /usr/share/doc/HTML/index.html 


在 乌 哥 的 CentOS 6.x 当中 ， 有 这 么 一 个 档案 ， 我 就 可 以 利用 links 来 取 
出 察看 呐 ! 


显示 的 结果 有 点 像 底下 这 样 : 
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root@www:~/litp [77x23] 司 | 四 1 机 | 


攻 
Wiki 
Malling Lists 
Mirror List 
QC 
Orums 
"25 

EE 


当然 啦 ! 因为 你 的 环境 可 能 是 在 Linux 本 机 的 ttyl~tty6 ， 所 以 无 法 显 
示 出 中 文 ， 


图 5.4-2、 使 用 links 查询 本 机 的 HTML 文件 档案 


这 个 时 候 你 就 得 要 设 定 为 : 『LANG=en_USJ 之 类 的 语系 设 定 才 行 
喔 ! 另外 ， 如 果 某 些 


时 刻 你 必须 上 网 点 选 某 个 网 站 以 自动 取得 更 新 时 。 举例 来 说 ， 早 期 的 
目 动 在 线 更 新 主 


机 名 系统 ， 仅 支持 网 页 更 新 ， 那 你 如 何 进行 更 新 呢 ? 嘿嘿 ! 可 以 使 用 
links 喔 ! 利用 


-dump 这 个 参数 处 理 先 : 


# 透 过 links 将 tw.yahoo.com 的 网 页 内 容 整 个 抓 下 来 储存 


[root@www ~]# links -dump http://tw.yahoo.com > yahoo.html 


# 茶 个 网 站 透 过 GET 功能 可 以 上 传 账号 为 user 密码 为 pw ， 用 文字 接 
口 处 


理 为 : 
[root@www ~]# links -dump \ 
> http://some.site.name/web.php?name=user&password=pw > testfile 


上 上面 的 网 站 后 面 有 加 个 问号 (?) 对 吧 ? 后 面 接 的 则 是 利用 网 页 的 『 GET 
J 功能 取得 的 

各 项 变量 数据 ， 利 用 这 个 功能 ， 我 们 就 可 以 直接 点 移 到 该 网 站 上 哆 ! 
非常 的 方便 吧 


而 且 会 将 执行 的 结果 输出 到 testfile 档案 中 ， 不 过 如 果 网 站 提供 的 数据 
是 以 了 POST J 


为 主 的 话 ， 那 乌 哥 束 不 知道 如 何 搞 是 了 。 GET 与 POST 是 WWW 通讯 
协议 中 ， 用 来 将 数 

据 透 过 浏览 器 上 传 到 服务 器 端的 一 种 方式 ， 一 般 来 说 ， 目 前 讨论 区 或 
部 落 格 等 ， 大 多 


使 用 可 以 支持 较 多 数据 的 POST 方式 上 传 啦 ! 关于 GET 与 POST 的 相 
关 信息 我 们 会 在 


第 二 十 章 WWW 服务 器 当中 再 次 的 提 及 ! 
net.giang@hotmail.com 
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5.4.2 文字 接口 下 载 器 : wget 


如 全 说 links 是 在 进行 网 页 的 【浏览 4， 那么 wget 束 是 在 进行 了 网 页 
数据 的 取 


得 4」。 举 例 来 说 ， 我 们 的 Linux 核心 是 放置 在 www.kernel.org 内 ， 主 要 
同时 提供 ftp 


与 http 来 下 载 。 我 们 知道 可 以 使 用 lftp 来 下 载 资料 ， 但 如 果 想 要 用 浏 
览 器 来 下 载 呢 ? 


那天 利用 wget 吧 ! 
[root@www ~]# wget [option] [网 址 ] 
选项 与 参数 


。 网 站 有 提供 账号 与 密码 的 保护 时 ， 可 以 利用 这 两 个 参数 
来 输入 


喔 ! 

--http-user=usrname 

--http-password=password 

--quiet : 不 要 显示 wget 在 抓 取 数据 时 候 的 显示 讯 尽 


更 多 的 参数 请 目 行 参考 man wget 吧 ! 人 和 


# 范例 一 : 请 下 载 2.6.39 版 的 核心 

[root@www ~]# wget \ 

> http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.39.tar.bz2 
--2011-07-18 16:58:26-- 
http://www.kernel.org/pub/linux/kernel/v2.6/.. 

Resolving www.kernel.org… 130.239.17.5, 149.20.4.69, 
149.20.20.133, ... 

Connecting to www.kernel.org|130.239.17.5|:80... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 76096559 (73M) [application/x-bzip2] 

Saving to: linux-2.6.39.tar.bz2' 

88% [================================> ] 67,520,536 1.85M/s 
eta 7s 


你 瞧 瞧 一 很 可 爱 吧 ! 不 必 透 过 浏览 器 ， 只 要 知道 网 址 后 ， 立 即 可 以 进 
行 档案 的 下 载 ， 又 


快速 又 方便 ， 还 可 以 透 过 proxy 的 帮助 来 下 载 呢 ! 透 过 修改 /etc/wgetrc 
来 设 定 你 的 


代理 服务 右 : 
[root@www ~]# vim /etc/wgetrc 


#http_proxy = http://proxy.yoyodyne.com:18023/ <== 找 到 放下 这 几 行 ， 
大 约 在 78 行 


#ftp_proxy = http://proxy.yoyodyne.com:18023/ 
#use_proxy = on 


# 将 他 改 成 类 似 底下 的 模样 ， 记 得 ， 你 必须 要 有 可 接受 的 proxy 主机 才 
行 
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http_proxy = http://proxy.ksu.edu.tw:3128/ 
use_proxy = on 

5.5 封包 撒 取 功能 


很 多 时 候 由 于 我 们 的 网 络 联机 出 现 问 题 ， 使 用 类 似 ping 的 软件 功能 却 
义 无 法 找 出 


问题 点 ， 最 常见 的 是 因为 路 由 与 IP 转 递 后 所 产生 的 一 些 困扰 (请 参考 
防火 墙 与 NAT 


主机 部 分 )， 这 个 时 候 要 怎么 办 ? 最 简单 的 方法 就 是 『 分 析 封 包 的 流 
癌 」 哆 ! 透 过 分 析 


封包 的 流 同 ， 我 们 可 以 了 解 一 条 联机 应 该 是 如 何 进 行 双 辣 的 联机 的 动 
作 ， 也 整 会 清 苞 


的 了 解 到 可 能 发 生 的 问题 所 在 了 ! 底下 我 们 就 来 谈 一 谈 这 个 tcpdump 
与 图 形 接口 的 封 


包 分 析 软 件 吧 1 


5.5.1 文学 接口 封包 括 取 器 : tcpdump 


说 实在 的 ， 对 于 tcpdump 这 个 软件 来 说 ， 你 甚至 可 以 说 这 个 软件 其 实 
忠 古 个 黑客 


软件 ， 因为 他 不 但 可 以 分 析 封 包 的 流向 ， 连 封包 的 内 容 也 可 以 进行 
『 监 听 J4 ， 如 果 你 


使 用 的 传输 数据 是 明码 的 话 ， 不 得 了 ， 在 router 或 hub 上 面 就 可 能 被 
人 家 监听 走 了 ! 


我 们 在 第 二 童 谈 到 的 CSMA/CD 流程 中 ， 不 是 说 过 有 所 谓 的 了 监听 软 
件 J」 了 吗 ? 这 个 


tcpdump 就 是 啦 ! 很 可 怕 呐 ! 所 以 ， 我 们 也 要 来 了 解 一 下 这 个 软件 
啊 ! ( 注 : 这 个 tcpdump 


必须 使 用 root 的 身份 执行 ) 

[root@www ~]#tcpdump [-AennqX] [-i 接口 ] [-w 储存 档 名 ] [-c 次 数 ] \ 
[- 档案 ] [所 欲 括 取 的 封包 数据 格式 ] 

选项 与 参数 : 


-A : 封包 的 内 容 以 ASCII 显示 ， 通 常用 来 捉 取 WWW 的 网 页 封包 资 
料 。 


-e: 使 用 资料 连接 层 (OSI 第 二 层 ) 的 MAC 封包 数据 来 显示 ; 

-nn: 直接 以 IP 及 port number 显示 ， 而 非 主 机 名 与 服务 名 称 

-q : 仅 列 出 较为 简短 的 封包 信息 ， 每 一 行 的 内 容 比 较 精 简 

XX 可 以 列 出 十 六 进 制 (hex) 以 及 ASCII 的 封包 内 容 ， 对 于 监听 封包 


内 容 


很 有 用 
-i ;后面 接 要 『 监 听 J 的 网 络 接口 ， 例 如 eth0, lo, ppp0 等 等 的 界面 ; 


-w : 人 包 数 据 储存 下 来 ， 用 这 个 参数 束 对 了 | 
后 面 


档 名 
-r : 从 后 面 接 的 档案 将 封包 数据 读 出 来 。 那 个 『 档 案 4 是 已 经 存在 的 


档案 ， 


并 且 这 个 『 档 案 4 是 由 -w 所 制作 出 来 的 。 


-Cc : 监听 的 封包 数 ， 如 果 没 有 这 个 参数 ，tcpdump 会 持续 不 断 的 监 
听 ， 


直到 使 用 者 输入 [ctrm]-c 为 止 。 

所 欲 括 取 的 封包 数据 格式 : 

我 们 可 以 专门 针对 某 些 通讯 协议 或 者 是 IP 来 源 进 
行 封包 撒 取 ， 
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那加 可 以 简化 输出 的 结果 ， 并 取得 最 有 用 的 信息 。 第 见 的 表示 方法 
有 : 


host foo, host 127.0.0.1 : 针对 单 部 主机 来 进行 封包 撒 取 

met 192.168' : 针对 时 个 网 域 来 进行 封包 的 报 取 ; 

'src host 127.0.0.1' "dst net 192.168': 同时 加 上 来 源 (src) 或 目标 
(dst) 限 制 

tcp port 21: 还 可 以 针对 通讯 协议 侦 测 ， 如 tcp, udp, arp, ether 等 
还 可 以 利用 and 与 or 来 进行 封包 数据 的 整合 显示 呢 ! 


# 范例 一 : 以 卫 与 port number 捉 下 eth0 这 个 网 络 卡 上 的 封包 ， 持 续 3 


[root@www ~]# tcpdump -i eth0 -nn 
tcpdump: verbose output suppressed, use -V or -vv for full protocol decode 
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 


17:01:47.360523 IP 192.168.1.101.1937 > 192.168.1.100.22: Flags [.], ack 
196, win 65219, 


17:01:47.362139 IP 192.168.1.100.22 > 192.168.1.101.1937: Flags [P.], seq 
196:472, ack 1, 


17:01:47.363201 IP 192.168.1.100.22 > 192.168.1.101.1937: Flags [P.], seq 
472:636, ack 1, 


17:01:47.363328 IP 192.168.1.101.1937 > 192.168.1.100.22: Flags [.], ack 
636, win 64779, 


<== 按 下 [ctrlj-c 之 后 结束 

6680 packets captured <== 捉 下 来 的 封包 数量 

14250 packets received by filter <== 由 过 滤 所 得 的 总 封包 数量 
7512 packets dropped by kernel <== 被 核心 所 丢弃 的 封包 


如 果 你 是 第 一 次 看 tcpdump 的 man page 时 ， 肯 定 一 个 头 两 个 大 ， 因 为 
tcpdump 让 


都 是 分 析 封 包 的 表 头 数据 ， 用 户 如 条 没有 简易 的 网 络 封 包 基础 ， 要 看 
懂 粉 难 呐 ! 所 以 ， 


将 TCP 封包 的 表 头 资料 理解 理解 才 好 


啊 ! 人 人 i 


那个 范例 一 所 产生 的 输出 范例 中 ， 我 们 可 以 约略 区 分 为 数 个 字段 ， 我 
们 以 范例 一 当中 


那个 特殊 字体 行 来 说 明 一 下 : 


D0 17:01:47.362139: 这 个 是 此 封包 被 攒 取 的 时 间 ，【『 时 :分 : 秒 J 的 单 
位 ; 


0 IP: 透 过 的 通讯 协议 是 IP ; 
D0 192.168.1.100.22 > : 传送 端 是 192.168.1.100 这 个 了 P， 而 传送 的 port 


number 为 22， 你 必须 要 了 解 的 是， 那个 大 于 (>) 的 符号 指 的 是 封包 的 
传输 方 


向 喔 ! 
吕 192.168.1.101.1937: 接收 端的 卫 是 192.168.1.101， 且 该 主机 开局 
port 1937 来 接收 ; 


0 [P.], seq 196:472: 这 个 封包 带 有 PUSH 的 数据 传输 标志 ， 且 传输 的 数 
据 


为 整体 数据 的 196~472 byte; 
Dack 1: ACK 的 相关 资料 。 


最 简单 的 说 法 ， 就 是 该 封包 是 由 192.168.1.100 传 到 192.168.1.101， 透 
过 的 


port 是 由 22 到 1937 ， 使 用 的 是 PUSH 的 旗 标 ， 而 不 是 SYN 之 类 的 主 
动 联机 标志 。 


呵呵 ! 不 容易 看 的 懂 吧 ! 所 以 说 ， 上 头 才 讲 请 务必 到 TCP 表 头 资料 的 
部 2 瞧 一 瞧 的 


啊 ! 
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再 来 ， 一 个 网 络 状 态 很 忙 的 主机 上 面 ， 你 想 要 取得 某 部 主机 对 你 联机 
的 封包 数据 而 


已 时 ， 使 用 tcpdump 配合 管线 命令 与 正规 表示 法 也 可 以 ， 不 过 ， 毕 竟 
不 好 提取 ! 我 


们 可 以 透 过 tcpdump 的 表示 法 功能 ， 整 能够 轻易 的 将 所 需要 的 数据 独 
立 的 取出 来 。 在 


上 面 的 范例 一 当中 ， 我 们 仅 针对 eth0 做 监听 ， 所 以 整个 eth0 接口 上 面 
的 数据 都 会 被 


显示 到 屏幕 上 ， 不 好 分 析 啊 ! 那么 我 们 可 以 简化 吗 ? 例如 只 取出 port 
21 的 联机 封包 ， 


可 以 这 样 做 : 


[root@www ~]# tcpdump -ieth0 -nn port 21 

tcpdump: verbose output suppressed, use -v or -vv for full protocol 

decode 

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 
01:54:37.96 IP 192.168.1.101.1240 > 192.168.1.100.21: . ack 1 win 65535 
01:54:37.96 IP 192.168.1.100.21 > 192.168.1.101.1240: P 1:21(20) ack 

1 win 5840 

01:54:38.12 IP 192.168.1.101.1240 > 192.168.1.100.21: . ack 21 win 
65515 


01:54:42.79 IP 192.168.1.101.1240 > 192.168.1.100.21: P 1:17(16) ack 


21 win 65515 

01:54:42.79 IP 192.168.1.100.21 > 192.168.1.101.1240: . ack 17 win 5840 
01:54:42.79 IP 192.168.1.100.21 > 192.168.1.101.1240: P 21:55(34) ack 
17 win 5840 


瞧 ! 这 样 殉 仅 提出 port 21 的 信息 而 已 ， 且 仔细 看 的 话 ， 你 会 发 现 封包 
的 传递 都 是 双 


回 的 ， client 端 发 出 『 了 要求 」 而 server 端 则 予以 『 啊 应 1 ， 所 以 ， 当 然 
是 有 去 有 回 


啊 ! 而 我 们 也 就 可 以 经 过 这 个 封包 的 流 同 来 了 解 到 封包 运作 的 过 程 。 
举例 来 说 : 


1. 我 们 先 在 一 个 终端 机 窗口 输入 『 tcpdump -ilo -nn 的 监听 ， 
2. 再 另 开 一 个 终端 机 窗口 来 对 本 机 (127.0.0.1) 登入 [ssh localhosty 
那么 输出 的 结果 会 是 如 何 ? 


[root@www ~]#tcpdump -i lo -nn 

1 tcpdump: verbose output suppressed, use -v or -vv for full protocol 
decode 

2 listening on lo, link-type EN10MB (Ethernet), capture Size 96 bytes 

3 11:02:54.253777 IP 127.0.0.1.32936 > 127.0.0.1.22: 5 
933696132:933696132(0) 

win 32767 <mss 16396,sackOK ,timestamp 236681316 0,nop,wscale 2> 


4 11:02:54.253831 IP 127.0.0.1.22 > 127.0.0.1.32936: 9 


920046702:920046702(0) 

ack 933696133 win 32767 <mss 16396,sackOK,timestamp 236681316 
236681316,nop, 

wscale 2> 
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5 11:02:54.253871 IP 127.0.0.1.32936 > 127.0.0.1.22: .ack 1 win 8192 
<nop, 

nop,timestamp 236681316 236681316> 

6 11:02:54.272124 IP 127.0.0.1.22 > 127.0.0.1.32936: P 1:23(22) ack 
1 win 8192 

<nop,nop,timestamp 236681334 236681316> 

7 11:02:54.272375 IP 127.0.0.1.32936 > 127.0.0.1.22: . ack 23 win 8192 
<nop, 

nop,timestamp 236681334 236681334> 

上 表 显 示 的 头 两 行 是 tcpdump 的 基本 说 明 ， 然 后 : 

3 行 显示 的 是 了 来 目 client 端 ， 市 有 SYN 主动 联机 的 封包 J ， 


4 行 显示 的 是 了 来 目 server 端 ， 除 了 啊 悄 client 端 之 外 (ACK)， 还 


带 
有 SYN 主动 联机 的 标志 ; 


第 5 行 则 显示 client 端 啊 应 server 确定 联机 建立 (ACK) 


0 第 6 行 以 后 则 开始 进入 数据 传输 的 步 又 。 


有 趣 吧 ! 不 过 tcpdump 之 所 以 被 称 为 墨客 软件 之 一 可 不 止 上 头 介绍 的 
功能 呐 ! 上 面 


介绍 的 功能 可 以 用 来 作为 我 们 主机 的 封包 联机 与 传输 的 流程 分 析 ， 这 
将 有 助 于 我 们 了 


ee 
地方。 


ne 如 果 我 们 使 用 tcpdump 在 router 上 面 监听 『 明 
但 J 的 传 


输 效 据 时 ， 例如 FTP 传输 协议 ， 你 觉得 会 发 生 什么 问题 呢 ? 我 们 先 在 
主机 端 下 达 


『 tcpdump -i lo port 21 -nn -X J 然后 再 以 ftp 登入 本 机 ， 并 输入 账号 与 


密码 ， 结 


果 你 就 可 以 发 现 如 下 的 状况 : 


[root@www ~]# tcpdump -i lo -nn -X 'port 21' 

0x0000: 4500 0048 2a28 4000 4006 1286 7f00 0001 E..H*(@.@....... 
0x0010: 7f00 0001 0015 80ab 8355 2149 835c d825 .........U!L\.% 
0x0020: 8018 2000 fe3c 0000 0101 080a 0e2e 0b67 .....<......... g 
0x0030: 0e2e 0b61 3232 3020 2876 7346 5450 6420 ...a220.(vsFTPd. 
0x0040: 322e 302e 3129 0d0a 2.0.1).. 


0x0000: 4510 0041 d34b 4000 4006 6959 7f00 0001 E..A.K@.@.iY.... 


0x0010: 7f00 0001 80ab 0015 835c d825 8355 215d ......... \.%.U!] 
0x0020: 8018 2000 fe35 0000 0101 080a 0e2e 1b37 .....5......... 7 
0x0030: 0e2e 0b67 5553 4552 2064 6d74 7361 690d ...gUSER.dmtsai. 
0x0040: 0a . 

0x0000: 4510 004a d34f 4000 4006 694c 7f00 0001 E..J.O0@.@.iL.... 
0x0010: 7f00 0001 80ab 0015 835c d832 8355 217f......... \.2.U!. 
net.giang@hotmail.com 

2 

0x0020: 8018 2000 fe3e 0000 0101 080a 0e2e 3227 .....>........ 2 
0x0030: 0e2e 1b38 5041 5353 206d 7970 6173 7377 ...8PASS.mypassw 
0x0040: 6f72 6469 7379 6f75 0d0a ordisyou.. 


上 面 的 输出 结 来 已 经 被 简化 过 了 ， 你 必须 要 目 行 在 你 的 输出 结 采 当中 
搜寻 相关 的 字符 串 


才 行 。 从 上 面 输出 结果 的 特殊 字体 中 ， 我 们 可 以 发 现 『 该 FTP 软件 使 
用 的 是 vsftpd ， 


并 且 使 用 者 输入 dmtsai 这 个 账号 名 称 ， 且 和 密码 是 mypasswordisyouy 
咖 照 ! 你 说 可 


不 可 怕 啊 ! 如 采 使 用 的 是 明码 的 方式 来 传输 你 的 网 络 数据 ?” 所 以 我 们 
才 闸 前 在 讲 啊 ， 


网 络 是 很 不 安全 滴 ! 


另外 你 得 了 解 ， 为 了 让 网 络 接口 可 以 让 tcpdump 监听 ， 所 以 执行 
tcpdump 时 网 络 


接口 会 启动 在 『 错 乱 模 式 (promiscuous)J ， 所 以 你 会 在 
/Var/log/messages 里 面 看 


到 很 多 的 警告 讯 电 ， 通 知 你 说 你 的 网 络 卡 个 设 定 成 为 错 配 模式 ! 别 担 
心 ， 那 古 正 常 的 。 


至 于 更 多 的 应 用 ， 请 参考 man tcpdump 哆 

例题 : 

如 何 使 用 tcpdump 监听 (1) 来 自 eth0 适 配 卡 且 (2) 通 讯 协议 为 port 
22 ，(3) 封 包 来 源 为 192.168.1.101 的 封包 资料 ? 


tcpdump -i eth0 -nn port 22 and src host 192.168.1.101' 
5.5.2 图 形 接 口 封包 括 取 器 : wireshark 
tcpdump 是 文字 接口 的 封包 括 取 全， 那么 有 没有 图 形 接口 的 ? 有 啊 ! 那 


距 古 


wireshark ( 注 1) 这 套 软 件 。 这 套 软 件 早期 称 为 ethereal ， 目 前 同时 提供 
文字 接口 


的 tethereal 以 及 图 形 接口 的 wireshark 两 个 吹 吹 。 由 于 我 们 当初 安装 时 
预 设 并 没有 


装 这 套 ， 因 此 你 必须 要 先 使 用 yum 去 网 络 安装 喔 ! 也 可 以 拿 出 光盘 来 
安装 啦 ! 有 两 套 


需要 安装 ， 分 别 是 文字 接口 的 wireshark 以 及 图 形 接口 的 wireshark- 


gnome 软件 。 安 
装 方 式 如 下 : 


[root@www ~1# yum install wireshark wireshark-gnome 


启动 这 套 软 件 的 方法 很 简单 ， 你 必须 要 在 XWindow 底下 ， 透 过 『 应 用 
程序 4 -->『 因 


特 网 」--> 『wireshark network analyzerJ」 束 可 以 启动 啦 ! 启动 的 画面 如 
下 所 示 : 
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The Wireshark Network Analyzer 
File Edit View Go Gapture Analyze Statistics Telephony Tools Help 


名 国 图 ~ 


v | Expression... | Clear | Apply 


Sl Interface List Pe Open 
Live list of the capture interfaces (counts incoming packets) Open a previously captured file 
Start capture on interface: Open Recent: 
本 eth0 从 
名 Pseudo-device that captures on all interfaces YG Sample Captures 
好 | USB bus number 1 A rich assortment of example capture files or 
好 | lo 


刻 Capture Options 


Start a capture with detailed options 


Ready to load or capture No Packets Profile: Default 


图 5.5-1、wireshark 的 使 用 示意 图 


其 实 这 一 套 软件 功能 非常 强大 ! 乌 哥 这 里 仅 讲 简单 的 用 法 ， 若 有 特殊 
需求 ， 就 得 要 


自己 找 找 数据 史 。 想 要 开始 搬 取 封包 前 ， 得 要 设 定 一 下 监听 的 接口 之 
类 的 ， 因 此 点 选 


图 5.5-1 画面 中 的 网 络 卡 小 图 标 吧 ! 就 会 出 现 如 下 的 画面 给 你 选择 了 。 
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Wireshark: Capture Options 


Capture 
Interface: |lo jv 
IP address: eth0 


USB bus number 1: Usbmonl 
Pseudo-device that captures on all interfaces: any 


M Capture 
口 Capture -= 


D Limit each packet to bytes 


[<] 


天 一 一 一 一 一 一 一 


CaptureFilter | | 


Capture File(s) Display Options 


File: | | | Browse… MM Update list of packets in real time 


D Use multiple files 
MM Automatic scrolling in live capture 


站 Hide capture info dialog 


9 Name Resolution 
Stop Capture .… Enable MAC name resolution 
口 ... after 
口 … after 站 
口 ... after MI 
RW 


图 5.5-2、wireshark 的 使 用 示意 图 


在 上 图 中 ， 你 得 移 选 择 想 要 监听 的 接口 ， 乌 哥 这 里 因为 担心 外 部 的 雪 
包 太 多 导致 画 


面 很 乱 ， 因 此 这 里 使 用 内 部 的 lo 接口 来 作为 范例 。 你 得 要 注意 ，1o 平 
时 是 很 安静 的 ! 


所 以 ， 乌 哥 在 点 选 了 TstartJd 之 后 ， 还 有 打开 终端 机 ， 之 后 使 用 『 ssh 
localhost J 


来 莹 斌 他 入 目 己 ， 这 样 才 能 够 获得 封包 喔 ! 如 下 图 所 示 : 
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Capturing from lo - Wireshark 


File Edit View Go Capture Analyze Statistics Telephony Jools Help 


于 训 可 生生 名 拍 各 中 人 奔 旦 国 国 ~ 


| Filter: | 


~ | Expression... | Clear | Apply 


No. . Time Destination Protocol Inf 
63 7.179363 J oh SSHv2 Enc 
64 7.179612 及 让 [人 TCP 458 
65 7.449560 结 东 侦 测 ::1 ::1 SSHv2 Enc 
66 7.452094 了 ep SSHv2 Enca 
67 7.452172 Hey | ::1 TCP 458 
68 7.458465 By ! HE | SSHV2 End 
69 7.458499 el Fa ew 458 
79 7.459665 1 1a1 SSHv2 Enci 
71 7.459121 1 ::1 SSHv2 En 


.471899 


lo - Wireshark [el 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 


车 亲 儿 入 部 | 已 岂 X2c 疏 和 二 东 三 国 图 ~ 


Filter | 1 加 v | Expression... | Clear | Apply 
No.. | Time mA source Destination Protocol Infd 上 人 
4 6.212968 A 1 SSH Ser 
5 0.213165 i Ce TCP 458 
6 0.213426 : Cs on 55H CUj 
7 0.213588 -1 wl TCP ssh 
8 09.216776 -这 | SSHV2 Clilv 
Db Frame 6 (197 bytes on wire, 197 bytes captured) 多 


b Ethernet II, Src: 00:00:90 60:00:00 (90:699:606:96:699:69)，Dst: 90:6960:69 606:90:99 (60:69:09: 
b Internet Protocol Version 6 

b Transmission Control Protocol, Src Port: 45836 (45836), Dst Port: ssh (22), Seq: 1, Ack: 2 
b SSH Protocol 


890080 69 680 96 060 96 88 96 966 00 680 96 96 86 dd 66 96 YW. . 


08810 80 66 088 35 86 46 860 80 60 680 80 066 80 966 66 60 ...5.@.. ........ 
8820 99 89 80 9699 680 91 96 60 80 80 68 60 80 968 966 0 ss 
8830 890 99 96 60 996 81 b3 66 80 16 4a b8 9f 6f 4a 6b ........ .. ee 
6646 f5 73 86 18 92 96 96 3d 90 96 91 91 98 9a 91 33 .5..... 加 
696596 9f bc 61 33 9f bc 53 53 48 2d 32 2e 30 2d 4f 70  ...3..55 H-2.6- 总 
6960 65 6e 53 53 48 5f 35 2e 33 8d ga enSSH 5. 3. 


[I< 


© File: " /mp/wiresharkXXXX8cLrix" 1... Packets: 75 Displayed: 75 Marked:... Profile: Default 


图 5.5-3、wireshark 的 使 用 示意 图 


若 没 有 问题 ， 等 到 你 括 取 了 足够 的 封包 想 要 进行 分 析 之 后 ， 按 下 图 5.5- 
3 画面 中 


的 停止 小 图 示 ， 那 么 封包 括 取 的 动作 就 会 终止 ， 接 下 来 ， 就 让 我 们 来 
开始 分 析 一 下 寺 


包 吧 ! 
图 5.5-4、wireshark 的 使 用 示意 图 


整修 分 析 的 画面 如 一 所 未， 画面 总 共 分 为 三 大 区 块 ， 你 可 以 将 鼠标 光 
标 移 动 到 每 个 


区 块 中 间 的 移动 棒 ， 残 可 以 调整 每 个 区 块 的 范围 大 小 了 。 第 一 区 块 主 
要 显示 的 是 封包 
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的 标 头 资料 ， 内 容 就 有 点 类 似 tcpdump 的 显示 结果 ， 第 二 区 块 则 是 详 
细 的 表 头 资料 ， 


包括 讯 框 的 内 容 、 通 讯 协议 的 内 容 以 及 socket pair 等 等 信息 。 第 三 区 
块 则 是 16 进 


位 与 ASCII 码 的 显示 结果 (详细 的 封包 内 容 )。 


如 条 你 觉得 某 个 封包 有 问题 ， 在 画面 1 的 地 方 点 选 该 封包 (图 例 中 是 第 


6 个 孝 


包 )， 那 么 画面 2 与 3 就 会 跟着 变动 ! 由 于 乌 哥 测试 的 封包 是 加 密 数 据 
的 封包 ， 因 此 


画面 2 显示 出 封包 表 头 ， 但 画面 3 的 封包 内 容 束 是 乱码 啦 ! 透 过 这 个 
wireshark 你 


就 可 以 一 口气 得 到 所 需要 的 所 有 封包 内 容 啦 ! 而 且 还 是 图 形 接口 的 ， 
很 方便 吧 ! 


5.5.3 任意 启动 TCP/UDP 封包 的 塌 口 联机 : nc, netcat 


这 个 nc 指令 可 以 用 来 作为 某 些 服务 的 检测 ， 因 为 他 可 以 连接 到 时 个 
port 来 进行 


沟通 ， 此 外 ， 还 可 以 目 行 局 动 一 个 port 来 倾听 其 他 用 户 的 联机 呐 ! 非 
常 的 不 错 用 ! 如 


果 在 编译 nc 软件 的 时 候 给 予 『GAPING _SECURITY_HOLEJ 参数 的 
话 ， 嘿 嘿 ! 这 个 软件 


还 可 以 用 来 取得 客户 端的 bash 哩 ! 可 怕 吧 ! 我 们 的 CentOS 预 设 并 没 
有 给 予 上 面 的 参 


数 ， 所 以 我 们 不 能 够 用 来 作为 黑客 软件 一 但 是 nc 用 来 取代 telnet 也 是 
个 很 棱 的 功 


能 了 ! (有 的 系统 将 执行 文件 nc 改名 为 netcat 啦 ! ) 
[root@www ~}# nc [-u] [IPlhost] [port] 

[root@www ~]# nc -1 [IP|host] [port] 

选项 与 参数 : 

-1 : 作为 监听 之 用 ， 亦 即 开局 一 个 port 来 监听 用 户 的 联机 

-u : 不 使 用 TCP 而 是 使 用 UDP 作为 联机 的 封包 状态 

# 汇 例 一 ， 与 telnet 类 似 ， 连 接 本 地 端的 port 25 查阅 相关 讯 忌 
[root@www ~]# yum install nc 


[root@www ~]# nc localhost 25 


这 个 最 简单 的 功能 与 telnet 几乎 一 样 吧 ! 可 以 去 检查 菏 个 服务 啦 ! 不 
过 ， 更 神奇 的 在 


后 面 ， 我 们 可 以 建立 两 个 联机 来 传讯 喔 ! 举 个 例子 来 说 ， 我 们 先 在 服 


务 絮 端 局 动 一 个 

port 来 进行 倾听 : 

# 范例 二 :激活 一 个 port 20000 来 监听 使 用 者 的 联机 要 求 
[root@www ~]# nc -] localhost 20000 & 

[root@www ~]# netstat -tlunp | grep nc 

tcp 00::1:20000 :::* LISTEN 5433/nc 


# 启动 一 个 port 20000 在 本 机 上 |! 


授 下 来 你 再 开 男 外 一 个 终端 机 来 看 看 ， 也 利用 nc 来 联机 服务 器 ， 并 且 
输入 一 些 指令 看 


看 喔 ! 
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[root@www ~]# nc localhost 20000 
<== 这 里 可 以 开始 输入 字符 串 了 ! 


此 时 ， 在 客户 问 我 们 可 以 打 入 一 些 字 ， 你 会 发 现在 服务 万 端 会 同时 出 
现 你 输入 的 字眼 响 ! 


如 果 你 同时 给 予 一 些 额外 的 参数 ， 例 如 利用 标准 输入 与 输出 (stdout， 
stdin) 的 话 ， 


那么 吏 可 以 透 过 这 个 联机 来 作 很 多 事情 了 ! 当然 nc 的 功能 不 只 如 此 ， 
你 还 可 以 发 现 


很 多 的 用 途 喔 ! 请 目 行 到 你 主机 内 的 /usr/share/doc/nc-1.84/scripts/ 目 采 
下 看 看 


这 些 script ， 有 帮助 的 呐 ! 不 过 ， 如 果 你 需要 额外 的 编译 出 含有 


GAPING_SECURITY_HOLE 功能 ， 以 使 两 端 联 机 可 以 进行 额外 指令 的 
执行 时 ， 就 得 要 目 行 


下 载 原始 码 来 编译 了 |! 
5.6 重点 回顾 


0 修改 网 络 接 口 的 硬件 相关 参数 ， 可 以 使 用 ifconfig 这 个 指令 ， 包 括 
MTU 等 


era 
于， 


Uifup 与 ifdown 其 实 只 是 script ， 在 使 用 时 ， 会 主动 去 


/etc/sysconfig/network-scripts 下 找到 相对 应 的 装置 配置 文件 ， 才 能 够 正 
确 


的 启动 与 天 闭 ; 
0 路 由 的 修改 与 查阅 可 以 使 用 route 来 查询 ， 此 外 ， route 亦 可 进行 新 


增 、 


删除 路 由 的 工作 ; 
Oi 人 指令 可 以 用 来 作为 整个 网 络 环境 的 设 定 ， 利 用 ip link 可 以 修改 


[网 络 


装置 的 硬件 相关 功能 4 ， 包 括 MTU 与 MAC 等 等 ， 可 以 使 用 ip 
address 修改 


TCP/IP 方面 的 参数 ， 包 括 卫 以 及 网 域 参 数 等 等 ，ip route 则 可 以 修改 
路 由 ! 


0 ping 主要 是 透 过 ICMP 封包 来 进行 网 络 环境 的 检测 工作 ， 并 且 可 以 使 
用 


ping 来 查询 整体 网 域 可 接受 最 大 的 MTU 值 ; 

0 侦察 每 个 节点 的 联机 状况 ， 可 以 使 用 traceroute 这 个 指令 来 人 退 踪 |! 

D netstat 除了 可 以 观察 本 机 的 局 动 接口 外 ， 还 可 以 观 穴 Unix socket 的 
传 


统 插 槽 接口 数据 ; 

0 host 与 nslookup 预 设 都 是 透 过 /etc/resolv.conf 内 设 定 的 DNS 主机 
来 进行 主机 名 与 IP 的 查询 ; 

D lftp 可 以 用 来 匿名 登录 远程 的 FTP 主机 


0 links 主要 的 功能 是 『 浏 史上， 包括 本 机 上 HTML 语法 的 档案 ， wget 
则 主 


要 在 用 来 下 载 WWW 的 资料 ; 
0 搬 取 封包 以 分 析 封 包 的 流 同 ， 可 使 用 tcpdump ， 至 于 图 形 接口 的 


wireshark 
则 可 以 进行 更 为 详细 的 解析 。 
0 透 过 tcpdump 分 析 三 同 交 握 ， 以 及 分 析 明 码 传 输 的 数据 ， 可 发 现 网 络 


加 密 
的 重要 性 。 
Dj nc 可 用 来 取代 telnet 进行 某 些 服务 埠 口 的 检测 工作 。 
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5.7 本 章 习题 
0 暂时 将 你 的 eth0 这 张 网 络 卡 的 了 P 设 定 为 192.168.1.100 ， 如 何 进行 ? 
ifconfig eth0 192.168.1.100 


0 我 要 增加 一 个 路 由 规则 ， 以 eth0 连接 192.168.100.100/24 这 个 网 域 ， 
应 


该 如 何 下 达 指 令 ? 
route add -net 192.168.100.0 netmask 255.255.255.0 dev eth0 


我 的 网 络 停顿 的 很 厉害 ， 尤 其 是 连接 到 tw.yahoo.com 的 时 候 ， 那 么 
我 应 该 


如 何 检查 那个 环 市 出 了 问题 ? 


traceroute tw.yahoo.com 


| 我 发 现 我 的 Linux 主机 上 面 有 个 联机 很 怪异 ， 想 要 将 他 断 线 ， 应 该 如 
可 进 


何人 

以 root 的 身份 进行 『netstat -anp |moreJd 查 出 该 联机 的 PID， 然 后 以 
『 kill -9 PID 4 踢 掉 该 联机 。 

0 你 如 何 知 道 green.evncku.edu.tw 这 部 主机 的 IP? 

方法 很 多 ， 可 以 利用 host green.ev.ncku.edu.tw 或 dig 

green.ev.ncku.edu.tw 或 nslookup green.ev.ncku.edu.tw 等 方法 找 出 

0 请 找 出 你 的 机 器 上 面 最 适当 的 MTU 应 该 是 多 少 ? 

ov rping -c 3 -M do -s MTU yourIP 4 找 出 你 的 他 的 MTU 数值 。 

实 上 ， 你 还 可 以 先 以 记 设 定 网 络 卡 较 大 的 MTU 后 ， 在 进行 上 述 的 动 

作 ， 才 能 

够 找 出 网 域内 适合 的 MTU 。 


0 如 何在 终端 机 接口 上 面 进行 WWW 浏览 ? 又 该 如 何 下 载 WWW 上 面 
提供 的 档 


案 ? 


要 浏览 可 以 使 用 links 或 lynx ， 至 于 要 下 载 则 使 用 wget 这 个 软件 。 
0 在 终端 机 接口 中 ， 如 何 连 接 bbs.sayya.org 这 个 BBS ? 

利用 telnet bbs.sayya.org 即 可 连接 上 

0 请 上 自行 以 tcpdump 观察 本 机 端的 ssh 联机 时 ， 三 向 交 握 的 内 容 


0 请 目 行 回答 : 为 何 使 用 明码 传输 的 网 络 联机 数据 较为 危险 ? 并 目 行 以 
软件 将 


封包 取出 ， 并 与 同学 讨论 封包 的 信息 
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0 请 上 自行 至 Internet 下 载 nc(netcat) 的 原始 码 ， 并 且 编 译 成 为 具有 


GAPING_SECURITY_HOLE 的 参数 ， 然后 建立 一 条 联机 使 用 -e 
/bin/bash 尝试 将 


本 地 端的 bash 丢 给 目的 端 执行 (特殊 功能 ， 可 让 client 取得 来 自主 机 的 
bash) 。 

5.8 参考 数据 与 延伸 阅读 

口 注 1: wireshark 的 官网 网 址 :http://www.wireshark.org/ 


2002/07/31: 第 一 次 完成 日 期 ! 

2003/08/19: 重新 编排 版 面 ， 加 入 jmcce 的 安装 以 及 MIU 的 相关 说 明 
2003/08/20: 加 入 课 后 练习 去 

2003/09/19: 加 入 参考 用 解答 咯 ! 

2005/03/24:_route 的 指令 参数 写 错 了 ! 已 经 订正 ! 

2006/07/24: 将 旧 的 文章 移动 到 此 处 


2006/07/24: 拿 掉 相关 性 不 高 的 JMCCE 终端 机 ;， 将 Windows 系统 
的 MTU 检测 修 


改 方法 移 除 。 也 拿 掉 ncftp 的 说 明 


2006/08/02: 修改 了 很 多 部 分 ， 加 入 一 些 封包 侦 测 的 功能 程序 ， 


tcpdump, nc 等 指令 
2010/08/28: 将 旧 的 ， 基 于 CentOS 4.x 所 朱 写 童 此 处 


2010/09/03: 加 入 links 取消 lynx，ethereal 改 成 wireshark，gaim 改 成 
pidgin 了 ， 


nc 指令 的 用 法 跟前 几 版 有 点 不 同 。 
2011/07/18: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 


2011/07/18: 将 资料 修订 为 CentOS 6.x 的 模样 ! 不 过 tcpdump 的 变化 不 
大 ， 部 分 数 


据 为 CentOS 5.x 的 搬 取 示意 ! 


net.giang@hotmail.com 


最 近 更 新 日 期 : 2011/07/19 


虽然 我 们 在 第 四 章 谈 完 了 连 上 Internet 的 方法 ， 也 大 略 介绍 了 五 个 主要 
的 网 络 检查 步骤 。 不 过 ， 网 络 


是 很 复杂 的 东西 ， 乌 哥 也 是 接触 了 Linux 这 么 多 年 之 后 才 对 网 络 与 通 
讯 协 议 有 点 认识 而 已 ， 要 说 到 熟 


悉 与 了 解 ， 那 还 有 段 路 要 走 哩 。 总 之 ， 为 了 让 大 家 对 网 络 问题 的 解决 
有 个 方 癌 可 以 进行 处 理 ， 乌 哥 帮 下 


列 出 一 些 间 见 的 问题 ， 硕 望 对 大 家 有 点 帮助 | 


6.1.3 问题 的 处 理 
6.2 处 理 流 程 


6.2.7 步骤 七 : Internet 的 问题 


6.2.8 步骤 八 ， 服务 器 的 问题 


6.3 本 章 习 题 
6.4 参考 数据 与 延伸 阅读 
6.5 针对 本 文 的 建议 :_http://phorum.vbird.org/viewtopic.php?t=26155 


6.1 无 法 联机 原因 分 析 


老 是 看 到 有 朋友 在 网 络 上 衣 呈 说 ，『 我 的 网 络 不 通 啊 ! 4 还 有 比较 奇 
怪 的 是 『 啊 ! 


经 么 网 络 时 通 时 不 通 J 之 类 的 问题 ， 这 类 的 问题 其 实 主 要 可 以 归 类 为 
硬件 问题 与 软件 


设 定 问题 。 硬 件 的 问题 比较 麻烦 ， 因 为 需要 透 过 一 些 专门 的 装置 来 分 
析 便 件 ， 至 于 软 


件 方面 ， 绝 大 部 分 都 是 设 定 错误 或 者 旦 观念 销 误 而 已 ， 比 较 好 处 理 啦 
(第 四 章 谈 到 的 就 


是 软件 问题 )! OK1! 我 们 先 来 看 看 网 络 在 哪里 可 能 会 出 问题 吧 
6.1.1 硬件 问题 ， 网 络 线材 、 网 络 设备 、 网 络 布线 等 


第 二 章 的 网 络 基础 当中 我 们 曾 提 到 很 多 的 网 络 基础 概念 ， 以 及 一 些 
单 的 硬件 


维护 问题 。 以 一 个 位 单 的 星 形 联机 来 说 ， 我 们 可 以 假设 他 的 架构 如 同 
下 图 所 示 : 


二 
简 
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Internet 


图 6.1-1、 局域网 络 的 联机 状态 示意 图 


在 上 面 的 图 示 当 中 ，"Linux PC3" 要 连 到 Internet 上 面 去 的 话 ， 需 要 透 
过 网 络 线 、 


交换 器 、NAT 主机 (Linux 服务 器 或 卫 分 享 器 )、ADSL 调制 解 调 器 ， 
附 挂 电话 线路 、 


ISP 自己 的 机 房 交换 器 ， 以 及 Internet 上 面 的 所 有 媒体 设备 (包括 路 由 
鲁 、 网 桥 、 其 


他 网 络 线 等 等 )， 那 么 哪些 地 方 可 能 会 出 问题 啊 ? 
1. 网 络 线材 的 问题 : 


在 上 面 的 图 标 中 ， 可 以 发 现 ， 其 实 网 络 接 口 设 备 中 ， 使 用 最 多 的 束 是 
网 络 线 啦 ! 


0 
于 


动 分 辨 跳 线 与 并 行 线 的 功能 的 ! 所 以 你 必须 要 了 解 到 你 的 设备 
(Hub/Switch/ 


调制 解 调 右 ) 所 支持 的 网 络 线 ， 男 外 ， 如 果 你 的 网 络 线 有 经 过 | ] 颖 处 或 
者 是 容 男 


a RN 
注意 一 


下 这 些 事情 : 

o 网 络 线 被 截断 ; 

o 网 络 线 过 度 扭曲 变形 造成 讯号 不 良 ; 

o 自制 网 络 接头 (如 RJ-45 跳 线 头 ) 品质 不 良 ; 

0 网 络 接 头 与 设备 (如 Hub) 接触 不 民 ; 

2. 网 络 卡 、Hub 及 Router 等 网 络 设备 的 问题 : 

另外 ， 还 有 一 些 网 络 设备 也 会 有 问题 ， 常 见 的 问题 如 下 : 

o 网 络 卡 不 稳定 、 质 量 不 佳 ， 或 者 与 整体 系统 的 兼容 度 不 佳 (网 络 卡 也 
是 会 坏 的 ); 


o 各 网 络 设备 的 接头 不 佳 ， 接 触 不 良 ， 造 成 讯号 衰减 (经 稼 的 拔 插 台 有 


可 能 发 生 ); 

o 由 于 网 络 设备 所 在 环境 恶劣 (例如 过 热 ) 导致 的 当 机 问 题 ( 乌 哥 经 
常 遭 遇 到 switch 热 当 的 问题 ); 

net.giang@hotmail.com 
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0 各 网 络 设备 使 用 方法 不 恨 ， 造 成 设备 功能 衰减 (switch 常常 插 电 / 
呆 电 容易 坏 喔 ); 

3. 设备 配置 的 规则 ; 


在 各 个 设备 的 配置 上 是 有 一 定 的 规则 的 ， 而 最 容易 发 生 的 问题 束 宇 太 
长 的 网 络 线 


会 造成 讯号 的 衰减 ， 导致 网 络 联机 的 时 间 太 长 甚至 无 法 联机 。 我 们 曾 
在 网 络 基 


础 当中 谈 过 以 太 网 络 最 长 的 支持 距离 (10BASE5 最 长 可 达 500m， 还 
有 一 些 其 


他 网 络 媒体 配置 的 问题 你 必须 晓得 的 : 

o 使 用 错误 的 网 络 线 ， 最 常 发 生 在 并 行 线 与 跳 线 的 分 别 (现在 比较 少见 
这 个 问题 了 )! 

o 架设 的 网 络 线 过 长 ， 导 致 讯号 衰减 太 严 重 。 例 如 以 太 网络 CAT5e 的 
线 理论 限制 长 度 大 概 是 在 90 公 尺 左右 (虽然 10BASE5 可 达 500m)， 若 
两 个 设备 (Hub/ 主 机 之 间 ) 长 度 大 于 90 公 尺 时 ， 自 然 就 容易 出 现 讯 号 发 
生 问 题 了 ! 


其 他 品 声 的 干扰 ， 最 常 发 生 在 网 络 线 或 者 网 络 设备 旁边 有 太 强 的 磁 
波 ; 


o 局 域 网 络 上 面 ， 节 点 或 者 其 他 的 设备 太 多 ， 过 去 我 们 常 以 所 谓 的 543 
原则 来 说 明 : ( 注 1) 

0 5 个 网 段 (segment)。 所 谓 segment 就 在 物理 连接 上 最 接近 

的 一 组 计算 机 ， 在 一 个 BNC 网 段 里 面 最 多 只 能 接 30 台 计 算 机 ， 

且 网 线 总 长 不 能 超过 185m 。 

0 4 个 增益 器 (repeater)。 也 就 是 将 信号 放大 的 装置 。 

0 3 个 计算 机 群体 (population)。 这 个 不 好 理解 ,也 就 是 说 前 
面 所 说 的 5 个 segment 之 中 ， 只 能 有 3 个 可 以 装 计算 机 ， 其 它 
两 个 不 行 。 


上 述 一 些 最 常见 的 硬件 问题 ， 当 然 啦 ， 有 的 时 候 生 设备 本 号 束 有 问 
题 ， 而 我 们 在 


网 络 基础 里 面谈 到 的 那个 很 重要 的 『 网 络 布线 」 的 情况 ， 也 是 造成 网 
络 停顿 或 通顺 与 


否 的 重要 原因 啊 ! 所 以 ， 硬 件 问 题 的 判断 比较 困难 点 。 好 一 底下 我 们 
再 来 聊 一 聊 软件 


设 定 的 相关 问题 。 
6.1.2 软件 问题 : IP 参数 设 定 、 路 由 设 定 、 服 务 与 防火 墙 设 定 等 


所 谓 的 软件 问题 ， 绝 大 部 分 就 是 IP 参数 设 定 错误 啊 ， 路 由 不 对 啊 ， 还 
有 DNS 的 卫 

设 定 错误 等 等 的 ， 这些 问 题 都 是 属于 软件 设 定 啦 ! 只 要 将 设 定 改 一 
改 ， 利 用 一 些 侦 测 


软件 查 一 查 ， 束 知道 问题 出 在 哪里 了 ! 基本 的 问题 有 : 
net.giang@hotmail.com 
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1. 网 络 卡 的 IPAmetmask 设 定 错误 : 


例如 ， 同一 个 IP 在 同一 个 网 段 中 出 现 造成 P 冲突 、 子 网 掩 码 设 定 错 
误 、 网 络 


卡 的 驱动 程序 使 用 错误 、 网 络 卡 的 IRQ、1IO Address 的 设 定 冲 突 等 
笠 . 


2. 路 由 的 问题 (route table): 


最 常见 的 就 是 预 设 路 由 (default gateway) 设 定 错误 了 ! 或 者 是 路 由 接口 
不 符 


所 导致 的 问题 ， 使 得 数据 封包 没有 办 法 顺利 的 送出 去 。 
3. 通讯 协议 不 相符 : 
最 单 发生 在 不 同 的 操作 系统 之 间 的 通讯 传输 ， 例 如 早期 Windows 98 与 


Windows 


2000 之 间 的 『 网 务 4 知 要 达成 沟通 ， 则 Windows 98 必须 要 加 装 
NetBEUI 这 


个 通讯 协议 才 行 。 又 例如 两 部 Linux 主机 要 透 过 NFS 通讯 协议 传输 数 
据 时 ， 两 


边 都 得 要 支持 rpcbind 这 个 启动 RPC 协议 的 程序 才 行 ! 这 些 通讯 协议 
我 们 都 


会 在 后 面 的 章节 分 别 介绍 的 啦 ! 


4. 网 络 仙 奏 的 问题 (loading): 


当 同 时 有 大 量 的 数据 封包 涌 进 Server 或 者 是 Hub 或 者 是 同一 个 网 域 
中 ， 束 有 


可 能 造成 网 络 的 停顿 甚至 挂 点 ! 男 外 ， 如 果 区 网 内 有 人 使 用 BT (P2P 
软件 ) 或 


者 是 有 人 中 毒 导 致 蠕虫 充满 整个 区 网 ， 也 会 造成 网 络 的 停顿 问题 ; 
5. 其 他 问题 : 


例如 : 一些 port 被 防火 墙 挡 住 了 ， 造 成 无 法 执行 某 些 网 络 资源 ， 应 用 
程序 本 身 


0 
兼容， 


问题 等 等 。 
6.1.3 问题 的 处 理 


既然 问题 发 生 了 ， 就 要 去 处 理 他 啊 ! 那 如 何 处 理 呢 ? 以 上 面 的 星 形 联 
机 图 示 为 例 ， 


把 握 两 个 原则 : 


0D 先 由 目 身 的 环境 侦 测 起 ， 可 以 由 目 喘 PC 上 的 网 络 卡 查 起 ， 到 网 络 
线 、 到 Hub 


再 到 调制 解 调 器 等 等 的 硬件 先 检查 完 。 在 这 个 步 又 当中 ， 最 好 用 的 软 
件 就 是 


ping ， 而 你 最 好 能 有 两 部 以 上 的 主机 来 进行 联机 的 测试 ; 
0 确定 硬件 没 问题 了 ， 表 来 思 邯 软件 的 设 定 问 题 ! 
实际 上 ， 如 有 果 网 络 不 通 时 ， 你 可 以 依 序 这 样 处 理 : 


1. 了 解 问题 : 这 个 问题 是 刚刚 发 生 ? 还 是 因为 之 前 我 做 了 什么 动作 而 
导致 无 法 


联机 ? 例如 之 前 鸟 哥 曾经 更 新 过 一 个 核心 ， 结 果 该 核心 并 不 能 驱动 乌 
哥 的 新 网 


Ei 


2. 确认 IP: 先 看 看 目 己 的 网 卡 有 无 驱动 ? 能 否 取得 正确 的 IP 相关 参数 
来 联 


机 ? 
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3. 确认 区 网 联机 : 利用 ping 来 沟通 两 部 主机 (路 由 器 或 IP 分 至 器 )， 确 
定 


网 络 线 与 中 继 的 hub/switch 工作 正 第 ; 
4. 人 确认 对 外 联机 : 看 主机 或 IP 分 享 器 能 否 依据 第 四 章 的 方法 顺利 取得 


IP 参 


数 ， 并 以 ping 的 方法 确定 对 外 联机 是 可 以 成 功 的 (例如 ping 
168.95.1.1); 


5. 人 确认 DNS 查询 : 利用 nslookup 或 host 或 dig 检查 www.google.com 
看 


看 ; 


6. 确认 Internet 方 点 : 可 以 利用 traceroute 检查 各 节点 是 否 没 问题 ? 


7. 确认 对 方 服务 器 正 常服 务 ， 是 否 对 方 服务 句 忙 线 中 ? 或 他 的 机 器 挂 
了 ? 

8. 确认 我 方 服务 器 : 如 果 是 别人 连 不 上 我 这 部 主机 ， 那 检查 主机 某 些 
服务 正确 


可 利用 netstat 检查 。 或 是 否 某 些 安全 机 制 的 软件 没有 设 定 
于， 例如 


SELinux 这 项 机 制 


4 问题 : 是 否 由 于 权限 设 定 错误 所 致 ? 是 否 由 于 你 的 
儿 古 


防火 墙 态 记 局 用 可 联机 的 塌 口 所 致 ? 这 个 可 以 透 过 tcpdump 来 处 理 ! 


透 过 这 些 处 理 动作 后 ， 一 般 来 说 ， 应 该 都 可 以 解决 你 无 法 上 网 的 问题 
了 ! 当然 啦 ， 


如 有 果 是 硬件 的 问题 ， 那 么 乌 哥 也 无 法 帮 你 ， 你 可 能 最 需要 的 是 .…『 送 
修 吧 孩子 ! 4 


6.2 处 理 流程 


既然 知道 上 面 已 经 谈 到 的 几 个 小 重点 了 ， 搂 下 来 当然 是 一 个 一 个 的 给 
他 处 理 挥 啊 ! 


底下 我 们 就 得 要 一 步 一 脚印 的 开始 检查 的 流程 啊 ! 
6.2.1 步骤 一 : 网络 卡 工作 确认 


其 实 ， 网 络 一 出 问题 的 时 候 ， 你 应 该 从 自己 可 以 检查 的 地 方 检查 起 ， 
因此 ， 最 重 


要 的 地 方丈 是 检查 你 的 网 络 卡 是 否 有 工作 的 问题 啦 ! 检查 网 络 卡 是 否 
正常 工作 的 方法 如 


下 


1. 确定 网 络 卡 已 经 驱动 成 功 : 


如 果 网 络 卡 没有 驱动 成 功 ， 其 他 的 ， 免 谈 ! 所 以 你 当然 需要 驱动 你 的 
网 络 卡 才 行 | 


确认 网 络 卡 是 否 被 驱动 ， 可 以 利用 lspci 以 及 dmesg 这 两 个 吃 吃 来 查询 
相关 的 


黄 块 的 对 应 。 详 情 请 参考 ; 第 四 童 的 相关 说明 。 再 次 强调 ， 近 


设备 
不 到 网 卡 


驱动 程序 ， 除 了 自己 编译 之 外 ， 再 购买 一 张 便宜 的 网 卡 来 应 付 着 用 ， 
征 不 错 的 想 


全 ! 
2. 确定 可 以 手动 直接 建立 IP 参数 : 


在 顺利 的 加 载 网 络 卡 的 模块 ， 并 且 『 取 得 网 络 卡 的 代号 4 上 之后， 我们 
可 以 利用 


ifconfig 或 记 来 直接 给 予 该 网 络 卡 一 个 网 络 地 址 试看 看 ! 看 能 否 给 
IP 设 


定 呢 ?例如 : 


net.giang@hotmail.com 
必 
[root@www ~]# ifconfig eth0 192.168.1.100 


来 直接 建立 该 网 络 卡 的 IP ， 然 后 直接 输入 ifconfig 看 能 否 查阅 到 刚刚 
设 定好 


的 参数 即 可 。 如 果 可 以 建立 起 该 IP ， 就 以 ping 来 检测 看 看 : 


[root@www ~]# ping 192.168.1.100 


如 果 有 了 啊 应 的 话 ， 那 表示 这 个 网 卡 的 设 定 应 该 是 没有 问题 了 ! 再 来 则 
征 开 始 检 测 


一 下 局 域 网 络 内 的 各 个 连接 硬件 啦 
6.2.2 步骤 二 : 局域网 络 内 各 项 连接 设备 检测 


在 确认 完了 最 重要 的 网 络 卡 设 定之 后 ， 并 且 确 定 网络 卡 是 正常 的 之 
后 ， 再 接着 下 来 


则 是 局 域 网 络 内 的 网 络 连 接 情 况 了 ! 假设 你 是 按照 图 6.1-1 所 设 定 的 星 
形 联机 局 域 网 


络 架 构 ， 那 么 你 必须 要 知道 整个 『 网 域 4 的 概念 ! 
1. 关于 网 域 的 概念 : 
能 否 成 功 的 架设 出 区 网 ， 与 网 域 的 概念 有 关 ! 所 以 ， 你 要 知 道 所 谓 的 


192.168.1.0/24 这 种 网 域 的 表达 方式 所 代表 的 意义 ， 且 子 网 掩 码 
(Netmask) 


到 | 


2. 天 于 Gateway 与 DNS 的 设 定 : 


Gateway 与 DNS 最 容易 僻 搞 混 一 这 两 个 并 非 是 填写 你 的 Linux 主机 的 
IP 喔 ! 


应 该 是 要 填写 IP 分 享 器 (或 NAT 主机 ) 的 IP 在 Gateway 中 ， 填 写 
168.95.1.1 在 DNS 的 I 了 P 设 定 当 中 ! 不 能 够 搞 错 啊 ! 

3. 关于 Windows 端的 工作 组 与 计算 机 名 称 : 

EC 1 5 
孚 ， 


建议 所 有 的 计算 机 将 『 工 作 组 4 设 定 相同 ， 但 『 计 算 机 名 称 」 则 不 能 
相同 ! 不 过 ， 


这 个 只 与 网 芳 及 SAMBA 服务 器 有 关 。 


ee 
用 ping 


测试 两 部 区 网 内 主机 的 联机 ， 这 个 联机 的 动作 可 以 让 你 测试 两 部 主机 
间 的 各 项 设备 ， 


包括 网 络 线 、Hub/Switch 等 等 的 吃 吃 ! 如 果 无 法 测试 成 功 ， 那 就 请 了 
解 一 下 : 


1. IP 参数 是 否 设 定 正确 : 


再 次 强调 ， 先 决定 IP/netmask 是 对 的 ! 乌 哥 在 上 课 的 时 候 和 常常 发 现 同 
天 证 


到 我 的 主机 上 ， 一 经 使 用 ifconfig 才 发 现 他 们 与 我 的 耳 不 在 同一 个 网 
段 内 ， 


束 古 会 有 这 样 的 情况 发 生 啊 ! 唉 ~ 
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2. 联机 的 线材 问题 : 
包括 我 们 前 面 提 到 的 网 络 线 本 郧 折 损 、 过 度 乱 绕 霹 成 的 讯号 受 减 问题 


品 


ara oar 
| 


外 ， 有 些 比较 旧 的 Hub/Switch 或 者 是 ADSL 调制 解 调 右 ， 由 于 没有 


Auto 


MDIMDIX 的 功能 ， 所 以 无 法 目 动 的 分 辨 跳 线 与 否 ， 那 么 当 你 用 错 网 
络 线 的 时 候 ， 


也 莽 无 法 接 通 啦 ! 万 外 ， 早 期 我 们 币 间 会 说 ， 最 简单 判断 每 部 主机 是 
人 否 顺 利 连 


接 到 Hub/Switch 可 以 透 过 连接 到 Switch 上 的 灯 号 来 判断 ， 不 过 ， 由 于 
有 时 


候 网 络 线 本 里 讯号 不 恨 ， 虽 然 灯 号 还 是 会 
Switch 的 情 


况 ( 乌 哥 目 己 殉 曾 发 生 过 啊 )， 此 时 ， 跟 朋友 借 一 条 OK 的 网 络 线 来 测试 
看 看 吧 ! 


3. 网 卡 或 Hub/Switch 本 身 出 问题 : 


有 一 次 乌 哥 无 法 在 外 部 连接 到 乌 哥 的 主机 ， 人 怀疑 是 挂 点 了 ， 结 果 冲 到 
主机 所 在 办 


公 室 察看 ， 距 ! 主机 是 好 好 的 踊 ! 那 坚 么 会 无 法 联机 呢 ? 原 因 是 ... 室 
内 环境 通 


风 不 腿 ， 加 上 Switch 所 在 处 温度 过 高 ， 加 上 和 那 部 旧 的 switch 『 刚 好 4 


坏 了 ， 哈 ! 就 这 样 『 switch 当 机 4 在 重新 启动 switch ( 拔 掉 再 插 上 电 
源 线 ) 


后 束 正 肖 了 。 所 以 路， 很 多 情况 者 是 会 发 生 的 ， 而 局 域 网 络 内 的 环境 
也 很 容易 


影响 到 联机 质量 啊 ! 


不 过 束 是 无 法 连接 到 


济 


确定 自己 主机 的 IP 与 网 卡 没有 问题 ， 加 上 内 部 区 网 透 过 ping 也 测试 过 
没有 问题 ， 


接 下 来 就 是 要 『 取 得 可 以 对 外 联机 的 IP 参数 3 啦 ! 这 个 重要 | 
6.2.3 步骤 三 : 取得 正确 的 卫 参数 


什么 叫 『 取 得 正确 的 卫 参数 」 啊 ? 还 记得 我 们 谈 过 如 果 要 顺利 的 连接 
上 Internet 


的 话 ， 必须 要 可 以 跟 public IP 进行 沟通 才 行 ， 而 与 public IP 取得 沟通 
的 方法 ， 


于 台湾 比较 常见 的 有 ADSL, Cable modem, 学 术 网 络 , 电话 拨 接 等 等 。 
在 CentOS 当中 ， 


我 们 可 以 透 过 修改 /etc/sysconfig/network-scripts/ifcfg-eth0， 或 者 是 利用 
rp-pppoe 来 进行 拨 接 ， 无 论 如 何 ， 你 束 是 得 要 连接 到 某 个 ISP 去 驶 是 
了 ~ 


ifconfig 看 看 有 没有 所 到 正确 的 IP 啊 ? 在 台湾 如 果 使 用 ADSL 联机 的 
话 ， 你 应 该 可 


以 顺利 的 取得 一 组 正确 的 Public IP 参数 的 ! 

Tips: 

曾 有 国外 的 华人 朋友 来 信 说 到 ， 他 们 使 用 ADSL 拨 接 之 后 竟然 取得 
一 组 Private IP ， 害 他 们 没有 办 法 涤 站 ! 他 们 想 请 问 这 样 的 情况 
是 否 合理 。 如 果 你 熟悉 路 由 相关 的 概念 之 后 ， 当然 会 知道 : 『 这 当 
然 合理 ! 4 ， 因 为 你 取得 的 IP 只 是 为 了 要 连接 到 ISP 去 而 已 ， 而 


ISP 与 你 的 主机 当然 可 以 透 过 Private IP 来 联机 啊 ! 如 果 是 这 样 
的 话 ， 那 么 你 就 肯定 无 法 架 站 了 ! 人 信人 


另外 ， 最 第 发 现 无 法 顺利 取得 IP 的 销 误 就 是 TBOOTPROTOJ 这 个 设 
定 值 设 定 销 了 ! 


为 static 与 dhcp 协议 所 产生 的 IP 要 求 是 不 一 样 的 啊 ! 还 记得 吧 ! 要 特 
别 留 在 
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ifcfg-eth0 里 面 的 设 定 参 数 咀 ! 男 外 ， 如 琳 你 是 使 用 ADSL 拨 接 的 ， 但 
征 老 忌 无 法 拨 


接 成 功 ， 那 么 建议 你 可 以 这 样 试看 看 : 

吕 将 ADSL 的 调制 解 调 器 整个 关机 ， 将 Switch/Hub 也 关 掉 电源 ; 

吕 静 待 十 分 钟 ， 等 这 些 设 备 比较 『 凉 快 」 一 点 后 ， 再 重新 插 上 电源 ; 
0 将 Linux 连接 到 ADSL 的 那 块 网 卡 (假设 为 eth0) 在 ifcfg-eth0 内 ， 


TONBOOTJ 设 定 为 no， 重 新 启动 网 络 (/etc/init.d/network restart)， 然 
后 


再 执行 adsl-start 
0 00 并 且 你 已 经 确认 内 部 网 域 没 有 问题 ， 那 请 中 
华电 入 


的 工程 人 员 来 帮忙 你 处 理 吧 ! 


因为 很 多 时 候 都 是 由 于 网 络 媒体 过 热 ， 也 有 可 能 主机 内 部 的 一 些 网 络 
参数 有 点 问题 ， 


所 以 ,干脆 就 不 要 启动 网 卡 ， 让 adsl-start 自动 去 启动 网 卡 即 可 ! 如 果 
顺利 取得 人 P 


后 ， 却 还 是 无 法 顺利 连 到 Internet 上 面 时 ， 你 觉得 还 有 哪些 地 方 需要 处 
理 的 呢 ? 


Tips: 
为 了 避免 switch 以 及 ADSL 调制 解 调 器 热 当 ， 乌 哥 以 及 一 些 重度 
网 络 用 户 的 朋友 ， 就 未 了 桌 上 型 小 电扇 ， 配 合 定时 器 (timer) 来 定 
时 的 向 这 两 个 设备 吹风 一 为 啥 需要 定时 器 ? 因为 担心 电 风 刷 一 直 开 
着 会 烧 掉 .… 

6.2.4 步骤 四 : 确认 路 由 表 的 规则 


如 琳 你 已 经 顺利 取得 正确 的 IP 参数 的 话 ， 那 么 接 下 来 融 是 测试 一 下 是 
人 盏 可 以 连 上 


Internet 啊 ! 乌 哥 建议 你 可 以 尝试 使 用 ping 来 连连 看 Hinet 的 DNS 主 
机 ， 也 驶 是 


168.95.1.1 那 部 机 器 啦 ! 


[root@www ~]# ping -c 3 168.95.1.1 


如 果 有 响应 ， 那 就 表示 你 的 网 络 『 基 本 上 已 经 没有 问题 ， 可 以 连 到 
Internet J ! 」 ， 


那 如 果 没 有 啊 应 呢 ? 明明 取得 了 正确 的 卫 却 无 法 连接 到 外 部 的 主机 ， 
肯定 有 网 ! 呵呵 ! 


没 错 ! 还 记得 我 们 在 网 域内 次 料 的 传输 可 以 直接 透 过 MAC 来 传送 ， 
但 如 琳 不 在 区 网 


内 的 数据 ， 则 需要 透 过 路 由 ， 尤 其 是 那个 预 设 路 由 (default route) 来 帮 
忙 转 递 封包 


吧 ! 所 以 说 ， 如 果 你 的 public IP 无 法 连接 到 外 部 (例如 168.95.1.1) ， 
可 能 的 问 


题 就 出 在 路 由 与 防火 墙 上 面 了 。 假 设 你 没有 启动 防火 墙 ， 那 问题 就 缩 
小 到 剩 下 路 由 哆 一 


那 路 由 的 问题 如 何 检查 ? 就 用 route -n 来 检查 啊 ! 
例题 : 


假设 有 个 使 用 ADSL 拨 接 的 Linux 主机 ， 他 的 路 由 表 如 下 ， 你 觉得 出 
了 


什么 问题 ? 

Destination Gateway Genmask Flags Metric Ref Use Iface 
net.giang@hotmail.com 

2 

59.104.200.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 
192.168.1.0 0.0.0.0 255.255.255.0U 0 0 0 eth0 
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 

127.0.0.0 0.0.0.0 255.0.0.0U000lo 


0.0.0.0 192.168.1.2 0.0.0.0 UG 0 0 0 eth0 


仔细 看 到 上 面 的 路 由 输出 ， 第 一 条 是 ppp0 产生 的 public IP 接口 ， 第 
二 条 是 eth0 的 内 部 网 域 接 口 ， 再 看 到 最 后 一 条 的 0.0.0.0/0.0.0.0 这 个 预 


设 路 由 ， 竟 然 是 内 部 网 域 的 eth0 为 gateway ? 不 合理 ， 最 大 的 问题 应 
该 是 


出 在 ifcfg-eth0 里 面 不 小 心 设 定 了 TGATEWAY=192.168.1.24 所 致 ， 解 
决 的 


六 人 大 困 

1. 取消 ifcfg-eth0 内 GATEWAY=192.168.1.2 那 一 行 ，( 该 行 亦 可 能 
出 现在 /etc/sysconfig/network 内 ) 

2. 重新 启动 网 络 /etc/init.d/network restart 

3. 重新 进行 拨 接 :， adsl-stop; adsl-start 


另外 一 个 可 能 发 生 的 情况 ， 就 是 ，『 起 记 设 定 预 设 路 由 」 啦 ! 例如 使 
用 ifconfig 手动 


重 狐 设 定 过 网 络 卡 的 IP 之 后 ， 其 实 路 由 规则 是 会 被 更 新 的 ， 所 以 预 设 
路 由 可 能 融会 不 


见 了 ! 那个 时 候 你 就 得 要 利用 route add 来 增加 预 设 路 由 路! 
6.2.5 步骤 五 : 主机 名 与 卫 查询 的 DNS 错误 


如 果 你 发 现 可 以 ping 到 168.95.1.1 这 个 Internet 上 面 的 主机 ， 却 无 法 使 
用 浏 

览 器 在 网 址 列 浏 贤 http://www.google.com 的 话 ， 那 肯定 99% 以 上 问题 
是 来 目 于 DNS 


解析 ， ! 解决 的 方法 就 是 直接 到 /etc/resolv.conf 去 看 看 设 定 值 对 不 
对 啊 ! 一 般 


常见 的 内 容 是 这 样 的 : 

[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 

nameserver 139.175.10.20 


最 常见 的 错误 是 『 那 个 nameserver 的 拼 字 写 错 了 ! J 真是 最 常见 的 问 
题 一 另外 ， 如 果 


client 端 是 Windows 系统 呢 ? 和 单 背 初学 者 会 摘 销 的 地 方 就 是 在 windows 
的 设 定 了 | 


要 注意 : Windows 端的 DNS 设 定 与 主机 端 /etc/resolv.conf 的 内 容 相 同 
即 可 ! 很 多 


初学 者 都 以 为 TCP/IP 内 的 DNS 主机 是 填 上 自己 的 Linux 主机 ， 这 是 
不 对 的 (除非 你 


目 己 的 Linux 上 面 有 DNS 服务 ) ! 你 只 要 填 上 你 的 ISP 给 你 的 DNS 主 
机 IP 位 置 殉 


可 以 了 
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必 
必 


名 
另外 ， 每 一 部 主机 都 会 有 主机 名 (hostname) ， 预 设 的 主机 名 会 是 


localhost ， 


这 个 主机 名 会 有 一 个 127.0.0.1 的 卫 对 应 在 /etc/hosts 当中 。 如 果 你 曾 
经 修改 过 


你 的 主机 名 ， 该 主机 名 却 无 法 有 一 个 正确 卫 的 对 应 ， 那 么 你 的 主机 在 
开机 时 ， 可 能 

会 有 好 几 十 分 钟 的 延迟 。 所 以 咖 ， 那 个 /etc/hosts 与 你 的 主机 名 对 应 ， 
对 于 内 部 私 

有 网 域 来 说 ， 是 相当 重要 的 设 定 项 目 呢 ! 

6.2.6 步骤 六 : Linux 的 NAT 服务 器 或 IP 分 享 器 出 问题 


NAT 服务 器 了 最 简单 的 功能 就 是 IP 分享 器 啦 ! NAT 主机 一 定 是 部 路 由 
二 ， 所 以 你 必 


须要 在 Linux 上 面 观察 好 正确 的 路 由 信息 。 否 则 肯定 有 问题 。 另 外 ， 
NAT 主机 上 面 的 


防火 墙 设 定 是 否 合理 ? IP 分 皇 右 上 面 和 是否 有 设 定 抵挡 的 机 制 等 等 ， 都 
会 影响 到 对 外 联 


机 是 否 能 够 成 功 的 问题 点 。 关 于 NAT 与 防火 墙 我 们 会 在 后 续 的 章节 继 
续 介绍 的 啦 ! 


6.2.7 步骤 七 : Internet 的 问题 


Internet 也 会 出 问题 喔 ! 当然 啦 ~~ 没 有 任何 东西 是 不 会 出 问题 的 ! 举例 
来 说 ， 好 
几 年 前 台湾 西岸 因为 施工 的 天 系 ， 导致 南北 网 络 骨干 统 线 被 挖 断 ， 结 


条 导 致 整个 


Internet 流量 的 大 塞车 ! 这 就 是 Internet 的 问题 一 还 有 ， 数 年 前 Study 
Area 网 站 


放置 的 地 点 由 于 路 由 器 设 定 出 了 点 差 错 ， 结果 导致 连接 速度 的 缓慢 。 
这 都 不 是 主机 本 


吴 出 问题 ， 而 是 Internet 上 面 某 个 市 点 出 了 状况 。 想 要 确认 古 否 问题 来 


自 Internet 


的 话 ， 束 使 用 traceroute 吧 ! 查 察看 问题 是 来 自 那 个 地 方 再 说 ! 
6.2.8 步骤 八 : 服务 器 的 问题 


如 果 上 述 的 处 理 都 OK ， 却 无 法 登入 时 部 主机 时 ， 我 想 ， 最 大 的 问题 
就 是 出 现在 主 


机 的 设 定 啦 ! 这 包括 有 : 
0 服务 闫 并 没有 开放 该 项 服务 : 例如 主机 关闭 了 telnet ， 那 你 使 用 


telnet 

去 联机 ， 是 无 法 连接 上 的 啦 ! 

0 主机 的 权限 设 定 错误 : 例如 你 将 某 个 目录 设 定 为 drwx------ ， 该 目录 
拥有 


者 为 root ， 你 却 将 该 目录 开放 给 WWW 来 浏览 ， 由 于 WWW 无 法 进 
入 该 目录 ， 
所 以 当然 无 法 正确 的 给 客户 端 浏 顺 啊 ! 这 是 最 典型 的 权限 设 定 错误 的 
情况 啊 ! 


ee 
种 核心 


机 制 ， 结 采 你 局 动 的 是 系统 原先 不 文 持 的 类 型 ， 那么 SELinux 反而 可 
能 会 抵挡 

该 服务 的 提供 ! 而 其 他 例如 /etc/hosts.deny, PAM 模块 等 等 ， 都 可 能 造 
成 使 


用 者 无 法 登入 的 问题 ! 这 就 不 是 网 络 问题 ， 而 是 主机 造成 联机 无 法 成 
功 ! 
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向 卡 足 否 运作 | _，w | 弓 深 虎 旺 程 式 
lspci,dmesg | ” | 或 瞻 袜 新 纲 卡 


SELinux 
沪 火 糖 


察 吞 各 服务 . ,| 服务 设 定 值 


netstat -tulp 六 ”| 各 相关 登录 祠 


IP 参 数 正 确 否 | -| vim ifcfg-eth0 
ifconfig network restart 


区 秽 和 根 路 讽 航 察看 塔 味 
人 备 足 否 正常 再 和 | 察看 线路 状态 
ping 察看 装置 


察看 笨 路 节点 


traceroute 


4 BH A bre 
正 厨 时 : hos tname 
ping hostname 


ietoi,. /network 
ieteiresoly.conf ieto/hosts 
reboot 


dig, host 
route -n 有 


vim ifefe-eth0 
network restart 


O 


0 防火墙 问 题 ， 防火 墙 设 定 错 误 也 是 一 个 很 常见 的 问题 ， 你 可 以 使 用 
tcpdump 


来 奶 踩 封包 的 流 网 ， 以 顺利 的 了 解 防火 墙 古 否 设 定 错 误 。 


基本 上 ， 一 个 网 络 环境 的 检测 工作 可 不 是 三 言 两 语 就 讲 的 完 的 一 而 且 
和 向 牵涉 到 很 


多 经 验 的 问题 ~ 请 你 常常 到 一 些 讲座 的 场合 去 听 听 看 大 家 的 经 验 ， 去 
google 看 看 人 


家 的 解决 方法 ， 都 有 助 于 让 你 更 轻易 的 解决 网 络 问题 的 喔 ! 和 人! 鸟 
哥 也 将 上 述 的 动 


作 规划 成 一 个 流程 图 ， 参 考 看 看 : 

图 6.2-1、 网 络 问题 解决 流程 图 

6.3 本 章 习 题 

0 以 图 6.1-1 的 星 形 联机 为 例 ， 你 的 Linux PC 3 可 以 ping 到 Windows 


PC1 ， 但 是 反 过 来 ，Windows PC1 无 法 ping 到 Linux PC3， 你 觉得 原因 
可 能 发 


生 在 哪里 ? 
由 于 两 边 已 经 可 以 用 ping 进行 联机 ， 所 以 硬件 应 该 是 没有 问题 了 。 而 


Linux --> Windows 没 问题 ， Windows --> Linux 有 问题 ， 可 能 是 由 于 
Linux 主 


机 上 面 的 防火 墙 所 致 。 可 以 使 用 iptables -L -n 去 查阅 一 下 防火 墙 的 设 
定 规则 。 


详细 的 防火 墙 请 参考 后 续 的 章节 。 
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6.4 参考 数据 与 延伸 阅读 
0 注 1: 网 中 人 的 网 络 染 构 简 介 : 


http://www.study-area.org/network/network_archi.htm 


2002/07/31: 第 一 次 完成 日 期 ! 
2003/08/19: 重新 修订 一 些 数据 ， 与 前 面 的 章节 比较 好 配合 ! 
2006/08/04: 将 旧 的 文章 移动 到 此 处 


2010/09/03: 将 旧 的 基于 CentOS 4.x 所 所 写 的 版 本 移动 到 此 处 
2010/09/06: 花 了 一 些 时 间 ， 加 上 一 张 流程 图 分 析 ! 参考 看 看 吧 ! 
2011/07/19: 将 版 本 改 为 CentOS 6.x， 原 本 的 CentOS 5.x 放 于 此 处 
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第 二 部 分 : 主机 的 简易 资 安 防护 措施 


有 很 多 团体 做 过 许多 操作 系统 安全 性 侦 测 的 研究 ， 他 们 发 现 一 部 没有 
经 过 更 新 与 保 


护 的 Linux/Windows 主 机 (不 论 是 一 般 个 人 计算 机 还 是 服务 器 
全 


Internet 几乎 可 以 在 数 小 时 以 内 了 吏 被 入 侵 或 被 当成 跳板 ! 您 瞎 瞻 ， 这 是 
啥 世界 啊 一 所 


以 说 ， 要 好 好 的 保护 好 您 目 己 的 服务 右 主 机 才 行 喔 ! 那 应 该 要 如 何 保 
护 你 的 服务 如 主机 


呢 ? 基本 上 ， 你 最 要 知道 的 古 你 的 服务 紫 开 了 多 少 网 络 服务 ， 而 这 些 
服务 会 局 动 什么 


塌 口 ? 根据 这 层 关 系 来 天 闭 一 些 不 必要 的 网 络 服务 。 再 者 ， 利 用 在 线 
更 新 系统 让 你 的 


Linux 随时 保持 在 最 新 的 软件 的 状态 ， 这 个 小 动作 可 以 预防 绝 大 部 分 
的 入 侵 攻 击 ， 可 


以 说 是 最 重要 的 一 步 了 ! 最 后 才 是 架设 基础 防火 墙 。 


因为 Linux 的 功能 太 强 了 ， 如 果 你 不 好 好 的 保护 好 你 的 主机 ， 要 是 被 
入 侵 并 且 被 


当成 跳板 ， 这 可 能 会 让 您 号 上 官司 的 ! 不 要 小 看 这 层 动作 喔 ! 虽然 被 
入 侵 后 只 要 将 旧 


系统 移 除 并 且 重 灌 后 ， 你 的 服务 此 主机 束 能 够 『 短 暂 J 的 恢复 正常， 
不 过 如 来 您 的 一 


些 操 作 习 惯 不 改 的 话 ， 呵 呵 ， 并 不 是 重 灌 束 能 够 让 你 的 服务 器 主机 活 
的 好 好 的 喔 ! 所 


以 吗 ， 我 们 在 架 站 之 前 ， 基 本 的 网 络 防备 措施 还 是 得 来 了 解 一 下 ， 免 
得 经 常 要 重 灌 、 重 


灌 、 重 洪 … 
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第 七 章 、 网 络 

腿 制 端口 口 ， 
最 近 更 新 日 期 : 2011/07/21 


通过 第 一 篇 的 锻炼 之 后 ， 现 在 你 应 该 已 经 利用 Linux 连 上 Intemet 了 。 
但 是 你 的 Linux 现在 束 怕 还 


征 不 怎么 安全 的 。 因此 ， 在 开始 服务 器 设 定 之 前 ， 我 们 必须 要 让 你 的 
系统 强壮 些 ! 以 避免 被 恶意 的 


cracker 所 攻击 啊 ! 在 这 一 章 当 中 ， 我 们 会 介绍 封包 的 流 辣 ， 然 后 根据 
该 流 辐 来 制订 系统 强化 的 流程 ! 


包括 在 线 自动 升级 、 服 务 管控 以 及 SELinux 等 等 。 现 在 就 来 了 解 了 解 
虽 ! 


7.1.1 封包 进入 主机 的 流程 


本 文 , domain/type 
getenforce, setenforce 


seinfo, sesearch, getsebool， 


Setsebool 


7.4.5 SELinux 登录 文件 记录 所 需 服 务 -以 httpd 为 范例 setroubleshoot， 


Sealert 


7.5.2 主机 , 受 了 了 复原 工作 流程 


7.6 重点 回顾 

77 本 童 习题 

7.8 参考 数据 与 延伸 阅读 

7.9 针对 本 文 的 建议 http://phorum.vbird.org/viewtopic.php?p=114062 
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2 
人 se 伺服 吉 内 部 机 制 1 
| 
| 防火 业 伺服 器 设 定 值 | 
| iptables, tcp_wrappers http, ftp, samba... 登 
L 销 
档 


权限 的 和 剖 衣 定 
SELinux 


Internet 


档 和 案 系 统 的 权限 


rw 


7.1 网 络 封包 联机 进入 主机 的 流程 


在 这 一 革 当 中 ， 我 们 要 讨论 的 是 ， 当 来 目 一 个 网 络 上 的 联机 要 求 想 进 
入 我 们 的 主机 


时 ， 这 个 网 络 封包 在 进入 主机 实际 取得 数据 的 整个 流程 是 如 何 ” 了 解 
了 整个 流程 之 后 ， 


你 才 会 发 现 ; 原来 系统 操作 的 基本 概念 是 如 此 的 重要 ! 而 你 也 才 会 了 
解 要 如 何 保护 你 


的 主机 安全 呐 ! | 内 话 少 说 ， 咱 们 赶紧 来 瞧 一 瞧 先 。 
7.1.1 封包 进入 主机 的 流程 


和 第 一 革 我 
解 为 险 架 设 


服务 器 需要 了 人 解 操 作 系 统 的 基本 观念 。 在 这 一 章 当 中 ， 我 们 要 将 该 流 
程 更 细致 化 说 明 ， 


因为 ， 透 过 这 个 流程 分 析 ， 你 会 知道 为 啥 我 们 的 主机 需要 进行 过 一 些 
防护 之 后 ， 系 统 才 


能 够 比较 强壮 。 此 外 ， 透 过 第 二 童 的 网 络 概念 解释 后 ， 你 也 了 解 了 网 
络 是 双 同 的 ， 服 务 


亏 与 客户 端 都 得 要 有 IP:port 才能 够 让 彼此 的 软件 互相 沟通 。 那 么 现 
在 ,假设 你 的 主 


机 是 WWW 服务 做， 透 过 撒 下 的 独 标 ， 网 络 封包 如 何 进入 你 的 主机 
呢 ? 


图 7.1-1、 网 络 封包 进入 主机 的 流程 
1. 经 过 防火 墙 的 分 析 ; 


Linux 系统 有 内 建 的 防火 墙 机 制 ， 因 此 你 的 联机 能 不 能 成 功 ， 得 要 先 看 
防火 墙 的 


当时 举 的 例子 是 希望 你 可 以 理 


含 色 才 行 。 预 设 的 Linux 防火 墙 就 有 两 个 机 制 ， 这 两 个 机 制 都 是 独立 
存在 的 ， 


因此 我 们 预 设 束 有 两 层 防 火 墙 喔 。 第 一 层 古 封包 过 渡 式 的 netfilter 防火 


场 ， 

另 一 个 则 是 透 过 软件 探 管 的 TCP Wrappers 防火 墙 。 
net.giang@hotmail.com 

0 封包 过 滤 防 火 墙 : IP Filtering 或 Net Filter 

要 进入 Linux 本 机 的 封包 都 会 先 通 过 Linux 核心 的 预 设防 火 墙 ， 束 是 称 
为 netfilter 的 吃 歇 ， 简 单 的 说 ， 束 是 iptables 这 个 软件 所 提供 的 防 


火 墙 功能 。 为 何 称 为 封包 过 沽 昵 ? 因为 他 主要 是 分 析 TCP/IP 的 封包 表 


| 主要 分 析 的 是 OSI 的 第 二 、 三 、 四 层 ， 主 要 控制 


就 是 MAC, IP, ICMP, TCP 与 UDP 的 埋 口 与 状态 (SYN, ACK...) 等 。 详 


o 第 二 层 防火 墙 : TCP Wrappers 


通过 netfilter 之 后 ， 网 络 封包 会 开始 接受 Super daemons 及 


TCP_Wrappers 的 检验 ， 那 个 是 什么 昵 ? 说 罕 了 就 是 /etc/hosts.allow 与 
/etc/hosts.deny 的 配置 文件 功能 咖 。 这 个 功能 也 是 针对 TCP 的 


Header 进行 再 次 的 分 机 ， 同 样 你 可 以 设 定 一 些 机 制 来 抵制 某 些 IP 或 
Port ， 好 让 来 源 端 的 封包 被 丢弃 或 通过 检验 ; 


3 我 们 可 以 将 大 部 分 来 目 因特网 的 垃圾 联机 丢弃 ， 
只 允许 


自己 开放 的 服务 的 联机 进入 本 机 而 已 ， 可 以 达到 最 基础 的 安全 防护 。 
2. 服务 (daemon) 的 基本 功能 : 
预 设 的 防火 墙 是 Linux 的 内 建功 能 ， 但 防火 墙 主要 管理 的 是 MAC, IP 


Port 等 


封包 表 头 方面 的 信息 ， 如 果 想 要 控 管 菏 些 目 孙 可 以 进入 ， 某 些 目 孙 则 
无 法 使 用 


的 功能 ， 那 区 得 要 透 过 权限 以 及 服务 夯 软 件 提供 的 相关 功能 了 。 举 例 
来 说 ， 你 可 


以 在 httpd.conf 这 个 配置 文件 之 内 规范 某 些 IP 来 源 不 能 使 用 httpd 这 个 
服 

2 那么 即使 该 IP 通过 前 面 两 层 的 过 滤 ， 他 依旧 无 
法 取得 


主机 的 资源 喔 ! 但 要 注意 的 是 ， 如果 httpd 这 文 程序 本 来 就 有 问题 的 
话 ， 那 么 


端 将 可 直接 利用 httpd 软件 的 漏洞 来 入 侵 主机 ， 而 不 需要 取得 主 
妃 


root 的 密码 ! 因此 ， 要 小 心 这 些 启动 在 因特网 上 面 的 软件 喔 ! 
3. SELinux 对 网 络 服 务 的 细部 权限 控制 : 


为 了 避免 前 面 一 个 步骤 的 权限 误 用 ， 或 者 是 程序 有 问题 所 造成 的 资 安 
状况 ， 因 此 

Security Enhanced Linux (安全 强化 Linux) 就 来 发 挥 它 的 功能 啦 ! 简单 
的 说 ， 


SELinux 可 以 针对 网 络 服务 的 权限 来 设 定 一 些 规则 (policy) ， 让 程序 能 
够 进行 


0 限 ， 因 此 即使 使 用 者 的 档案 权限 设 定 错 误 ， 以 及 程序 有 问题 
时 ， 该 程 


序 能 够 进行 的 动作 还 是 被 限制 的 ， 即 使 该 程序 使 用 的 是 root 的 权限 也 


一 样 。 举 


例 来 说 ， 前 一 个 步 又 的 httpd 真 的 被 cracker 攻击 而 让 对 方 取得 root 的 
使 用 


权 ， 由 于 httpd 已 经 被 SELinux 控制 在 /Var/www/html 里 面 ， 且 能 够 进 
行 的 

功能 已 经 被 规范 住 了 ， 因 此 cracker 就 无 法 使 用 该 程序 来 进行 系统 的 进 
一 步 帮 

坏 哆 。 现 在 这 个 SELinux 一 定 要 开启 喔 ! 

4. 使 用 主机 的 文件 系统 资源 : 


想 一 想 ， 你 使 用 浏览 器 连接 到 WWW 主机 最 主要 的 目的 是 什么 ? 当然 
忠 古 读 取 主 


机 的 WWW 数据 啦 ! 那 WWW 资料 是 蛤 ? 就 是 档案 啊 ! A_A! 所 以 ， 
最 终 网 络 封包 
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0 


其 实 是 要 向 主机 要 求 文件 系统 的 数据 啦 。 我 们 这 里 假设 你 要 使 用 httpd 
这 文 程 


序 来 取得 系统 的 档案 数据 ， 但 httpd 默认 是 由 一 个 系统 账号 名 称 为 httpd 
来 局 


所 以 : 你 的 网 页 数据 的 权限 当然 就 是 要 让 httpd 这 文 程 序 可 以 读 
二 条 


啊 ! 如 果 你 前 面 三 关 的 设 定 都 OK ， 最 终 权 限 设 定 错误 ， 使 用 者 依旧 
无 法 浏 咒 你 


的 网 页 数据 的 。 


在 这 些 步 又 之 外 ， 我 们 的 Linux 以 及 相关 的 软件 都 可 能 还 会 文 持 登录 
文件 记录 的 


功能 ， 为 了 记录 历史 历程 ， 以 方便 管理 者 在 未 来 的 错误 查询 与 入 侵 检 
测 ， 民 好 的 分 析 


登录 档 的 习惯 是 一 定 要 建立 的 ， 尤 其 是 /var/log/messages 与 
/Var/log/secure 这 些 


个 档案 ! 虽然 各 大 主要 Linux distribution 大 多 有 推出 适合 他 们 自己 的 登 
隶 文件 分 析 


软件 ， 例 如 CentOS 的 logwatch ， 不 过 毕竟 该 软件 并 不 见得 适合 所 有 的 


distributions ， 所 以 乌 哥 竹 试 目 己 写 了 一 个 logfile.sh 的 shell script， 你 
可 以 


在 底下 的 网 址 下 载 该 程序 : 


好 了 ， 那 么 根据 这 些 流 程 ， 你 觉得 cracker 这 些 个 坏蛋 能 够 怎样 的 攻击 
我 们 的 系 


统 呢 ? 得 要 先 到 对 方 想 要 怎么 破坏 ， 我 们 才能 够 想 办 法 来 补 强 系统 
嘛 ! 夺 下 先 讲 讲 基 


本 的 攻击 手法 哎 。 
7.1.2 第 见 的 攻击 手法 与 相关 你 护 


了 解 到 数据 传送 到 本 机 时 所 需要 经 过 的 几 道 防 线 后 ， 那 
个 权限 是 


最 后 的 关键 啦 ! 现在 你 应 该 比较 清 区 为 何 我 们 般 间 在 基础 篇 里 面 一 直 
谈 到 设 定 正确 的 


权限 可 以 保护 你 的 主机 了 吧 ? 那么 cracker 是 如 何 透 过 上 述 的 流程 还 能 
够 攻击 你 的 


系统 啊 ? 故 下 束 让 我 们 来 分 析 分 析 。 
0 
取得 帐户 信息 后 猜 密码 


由 于 很 多 人 喜欢 用 目 己 的 名 字 来 作为 帐户 信息 ， 因 此 账号 的 取得 是 很 
容易 的 ! 举例 


来 说 ， 如 果 你 的 朋友 将 你 的 email address 不 小 心 泄漏 出 去 ， 例 如 : 


dmtsai@your.host.name 之 类 的 样式 ， 那 么 人 家 就 会 知道 你 有 一 部 主 
机 ， 名 称 为 


your.host.name， 且 在 这 部 主机 上 面 会 有 一 个 使 用 者 账号 ， 账 号 名 称 大 
dmtsai ， 之 后 


这 个 坏 家 伙 再 利用 某 些 特殊 软件 例如 nmap 来 进行 你 主机 的 port scan 之 
后 ， 咖 咖 ! 


他 束 可 以 开始 透 过 你 主机 有 局 动 的 软件 功能 来 猜 你 这 个 账号 的 密码 
本 


另外 ， 如 有 果 你 常常 观察 你 的 主机 登录 文件 ， 那 你 也 会 发 现 如 果 你 的 主 
机 有 启动 Mail 


server 的 服务 时 ， 你 的 登 孙 档 殉 会 音 间 出 现 有 些 怪 家 伙 芝 斌 以 一 些 奇 
怪 的 常见 账号 在 


试图 猜测 你 的 密码 ， 举例 来 说 像 : admin, administrator webmaster ...…. 之 
类 的 账 
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号 ， 尝 斌 来 鳃 取 你 的 私人 信件 。 如 果 你 的 主机 真 的 有 这 类 的 账号 ， 而 
且 这 类 的 账号 还 


没有 民 好 的 密码 规划 ， 那 束 容 易 『 中 标 ! 唉 ! 真是 麻烦 ! 所 以 我 们 
常 讲 ， 系 统 账 号 


千 万 不 能 给 予 密码 ， 容 易 被 猜 密码 啊 ! 


这 种 猜 密 码 的 攻击 方式 算是 最 早期 的 入 侵 模 式 之 一 了 ， 攻 击 者 知道 你 
的 账号 ， 或 者 


征 可 以 猜 出 来 你 的 系统 有 哪些 账号 ， 天 缺 的 吏 只 是 密码 而 已 ， 因 此 他 
会 『 很 努力 的 4 


去 猜 你 的 密码 ， 此 时 ， 你 的 密码 规划 如 果 不 好 的 话 ， 很 容易 束 被 攻击 
了 ! 主机 也 很 容 


易 和 被 绑架 啊 ! 所 以 ， 民 好 的 密码 设置 习惯 是 很 重要 的 。 


不 过 这 种 攻击 方式 比较 费时 ， 因 为 目前 很 多 软件 都 有 密码 输入 次 数 的 
限制 ， 如 采 连 


续 输 入 三 次 密码 还 不 能 成 功 的 登入 ， 那 该 次 联机 就 会 被 断 线 ! 所 以 ， 
这 种 攻击 方式 日 


番 减 少 ， 目 前 偶而 还 会 看 到 束 是 了 ! 这 也 是 初级 cracker 会 使 用 的 方式 
之 全 3 寻 拆 们 


要 如 何 保护 呢 ? 基本 方式 是 这 样 的 : 

0 减少 信息 的 上 曝光 机 会 :例如 不 要 将 Email Address 随意 散布 到 Internet 
Bs 

0 建立 较 严 格 的 密码 设 定 规则 : 包括 /etc/shadow, /etc/login.defs 等 档案 


的 设 定 ， 建议 你 可 以 参考 基础 篇 内 的 账号 管理 那 一 章 来 规范 你 的 用 户 
密码 变更 


时 间 等 等 ， 如 采 主 机 够 稳定 且 不 会 持续 加 入 茶 些 账号 时 ， 也 可 以 考虑 
使 用 


chattr 来 限制 账号 Uetc/passwd, /etc/shadow) 的 更 改 ; 


0 完善 的 权限 设 定 : 由 于 这 类 的 攻击 方式 会 取得 你 的 某 个 使 用 者 账号 的 
登入 权 


限 ， 所 以 如 条 你 的 系统 权限 设 定 得 家 的 话 ， 那 么 攻击 者 也 仅 能 取得 一 
般 使 用 者 


0 
利用 系统 的 程序 漏洞 『 主 动 」 攻击 


由 图 7.1-1 里 面 的 第 二 个 步骤 中 ， 我 们 知道 如 条 你 的 主机 有 开放 网 络 服 
务 时 ， 台 


必须 有 局 动 菜 个 网 络 软件 嘛 ! 我 们 也 知道 由 于 软件 可 能 拟 写 方式 的 问 
题 ， 可 能 产生 一 些 


会 被 cracker 乱用 的 具 虫 程序 代码 ， 而 这 些 昊 虫 程序 代码 由 于 产生 问题 
的 大 A 小 省 分 


为 bug ( 旺 虫 ， 可 能 会 造成 系统 的 不 稳定 或 当 机 ) 与 Security (安全 问 
题 ， 程 序 代码 


撰写 方式 会 导致 系统 的 权限 被 恶意 者 所 掌握 ) 等 问题 。 


当 程 序 的 问题 被 公布 后 ， 某 些 较 高 阶 的 cracker 会 壬 试 撰写 一 些 针 对 这 
个 漏洞 的 


攻击 程序 代码 ， 并 且 将 这 个 程序 代码 放置 到 cracker 常 去 的 网 站 上 面 ， 
大 以 推销 目 己 


的 工 功力 4 .… 乌 哥 要 提醒 的 是 ， 这 种 程序 代码 『 有 是 很 容易 被 取得 
的 4 。 当 更 多 『 盘 


盈 美 伪 子 ( 台 语 ， 闲 闲 没事 干 之 意 )4 取得 这 些 程序 代码 后 ， 他 可 能 会 想 
要 『 试 一 试 这 个 


攻击 程序 的 威力 ]， 所 以 就 拿 来 『 扫 里 4 一 秋 ， 如 有 果 你 八字 比较 轻 ， 
或 者 当天 星座 学 


家 说 你 比较 倒霉 时 ， 可 能 就 会 被 不 小 心 的 攻击 到 . 


这 种 攻击 模式 是 目前 最 常见 的 ， 因 为 攻击 者 只 要 拿 到 攻击 程序 就 可 以 
进行 攻击 了 ， 
『 而 且 由 攻击 开始 到 取得 你 系统 的 root 权限 不 需要 猜 密 码 ， 不 需要 两 
分 钟 ， 束 能 够 


立刻 入 侵 成 功 ]， 所 以 『 鳃 鳃 美 仿 了 J」 们 最 爱 的 就 是 这 个 唉 吃 了 。 但 
这 个 玩意 儿 本 号 


net.qiang@Ohotmail.com 


征 靠 『 你 主机 的 程序 漏洞 4 来 攻击 的 ， 所 以 ， 如 果 你 的 主机 随时 保持 
在 实时 更 新 的 阶段 ， 


或 者 是 关闭 大 部 分 不 需要 的 程序 ， 那 承 可 以 躲避 过 这 个 问题 。 因 此 ， 
你 应 该 要 这 样 做 : 


0 关闭 不 需要 的 网 络 服务 : 开 的 port 越 少 ， 可 以 被 入 侵 的 管道 越 少 ， 


部 


主机 负责 的 服务 越 单 纯 ， 越 容易 找 出 问题 点 。 
0 随时 保持 更 新 ， 这 个 没 话 讲 ! 一 定 要 进行 的 ! 


口 关 闭 不 需要 的 软件 功能 : 举例 来 说 ， 后 面 会 提 到 的 远程 登录 服务 器 
SSH 可 


以 提供 root 由 远程 登录 ， 那 么 危险 的 事情 当然 要 给 他 取消 啊 ! 和 人 
0 
利用 社交 工程 作 其 骗 


社交 工程 (Social Engineering) 指 的 其 实 很 简单 ， 束 是 透 过 人 与 人 的 互动 
来 达到 


『 入 侵 4 的 目的 ! @_@! 人 与 人 的 互动 可 以 入 侵 你 的 主机 ? 鸟 哥 在 呼 
陇 你 吗 ? 当然 不 是 。 


近日 在 台湾 的 社会 你 不 是 解 看 到 某 些 人 会 以 了 退税 、 中 奖 、 纶 小 钱 天 


贵重 物品 4 等 


名 义 来 欺骗 善良 老百姓 ， 让 老百姓 掏 出 口袋 里 的 金钱 给 那些 可 有 恶 的 金 
光 党 吗 ? 社交 工 


程 也 是 类 似 的 方法 。 在 大 公司 里 面 ， 或 许 你 可 能 会 接 到 这 样 的 电话 : 
[我 是 人 事 部 门 


的 经 理 ， 我 的 账号 为 何 突然 间 不 能 登入 了 ? 你 给 我 看 一 看 ， 恩 ? 干脆 
直接 帮 我 男 建 一 


个 账号 ， 我 告诉 你 我 要 的 密码 是 .…J4 。 如 果 你 一 时 不 查 给 他 账号 密码 
的 话 ， 你 的 主 


机 可 能 束 这 样 被 纯 走 了 一 


社交 工程 的 欺骗 方法 多 的 是 ， 包 括 使 用 『 好 心 的 email 通知 」 、『 警 告 
信函 」、 


[中 效 单 ] 等 等 ， 在 在 者 是 要 欺 驴 你 的 账号 密码 ， 有 的 则 利用 钓鱼 方 
式 来 其 驴 你 在 汞 


些 恶 意 网 站 上 面 输入 你 的 账号 密码 ， 很 讨厌 的 啦 ! 举例 来 说 ， 我 们 昆 
山 计 中 的 email 各 


常会 收 到 系统 维护 的 信件 ， 要 我 们 将 账号 密码 提交 给 系统 管理 员 统 一 
控 管 ， 这 当然 是 


假 的 ! 计 中 根本 不 会 寄 出 这 样 的 信件 啊 ! 伤 脑筋 啦 ! 所 以 要 注意 啊 ! 
那 要 如 何 防范 呢 ? 


0 2 谈 首 : 不 要 一 味 的 相信 对 方 ， 你 必须 要 有 信心 的 癌 上 呈报 ， 
不 es 


时 心 民 束 中 了 计 ! 
有 不 要 随意 透露 账号 /密码 等 信息 : 最 好 不 要 随意 在 Internet 上 面 填写 这 


数据 ， 真 的 很 危险 的 ! 因为 在 Internet 上 面 ， 你 永远 不 知道 对 方 屏幕 前 
面 坐 


着 的 是 谁 ? 
0 
利用 程序 功能 的 『 被 动 」4 攻击 


喧 ? 除了 主动 攻击 之 外 ， 还 有 所 谓 的 被 动 攻击 喔 ? 没 蚀 啊 ，『 系 金 
人 4! 那 如 何 作 


被 动 攻击 呢 ? 那 就 得 要 由 【恶意 网 站 4 讲 起 了 。 如 果 你 喜欢 上 网 随意 
浏 谢 的话， 那么 


有 的 时 候 可 能 会 连 上 一 些 广告 很 多 ， 或 者 是 一 堆 弹 出 式 窗口 的 网 站 ， 
这 些 网 站 有 时 还 


会 很 好 心 的 『 提 供 你 很 多 好 用 的 软件 自动 下 载 与 安装 4 的 功能 ， 如 果 
该 网 站 是 你 所 信 
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任 的 ， 例 如 Red Hat, CentOS, Windows 官网 的 话 ， 那 还 好 ， 如 果 是 一 
个 你 也 不 清楚 


他 是 干 嘛 的 网 站 ， 那 你 是 否 要 同意 下 载 安装 该 软件 ? 


如 果 你 常常 在 注意 一 些 网 络 危 机 处 理 的 相关 新 闻 时 ， 常 会 发 现 
Windows 的 浏览 器 


(IE) 有 问题 ， 有 了 时 则 是 全 部 的 浏览 器 (Firefox, Netscap, 正 .…) 都 会 出 现 
问题 。 


那 你 会 不 会 觉得 奇怪 啊 ， 怎么 【浏览 右 也 会 有 问题 ? 4 这 是 因为 很 多 
浏览 夫 会 主动 的 


答应 对 方 WWW 主机 所 提供 的 各 项 程序 功能 ， 或 者 是 目 动 安装 来 目 对 
方 主 机 的 软件 ， 有 


时 浏 咒 絮 还 可 能 由 于 程序 发 生 安全 问题 ， 让 对 方 WWW 浏览 器 得 以 传 
送 恶 意 代 码 给 你 的 


主机 来 执行 ， 嘿嘿! 中 标 ! 


那 你 又 会 想 啊 ， 那 我 干 嘛 浏览 那样 的 恶意 网 站 ? 呵呵 ! 总 是 会 有 些 粗 
心 大 意 的 时 候 


啊 ! 如 果 你 今天 不 小 心 收 到 一 个 email ， 里 面 告诉 你 你 的 银行 账号 有 问 
题 ， 硕 望 你 赶 


暴 连 上 某 个 网 页 去 看 看 你 的 账号 是 否 在 有 问题 的 行列 中 ， 你 会 不 会 
过 2 人 天 有 有 个 


网 络 消 居 说 某 某 网 页 在 提供 大 特价 商品 ， 那 你 会 不 会 去 碰 磁 运气 ? 都 
征 可 能 的 啊 ! 不 


过 ， 这 也 了 束 很 容易 被 对 方 攻击 到 了 。 


那 如 何 防备 啊 ? 当然 建立 良好 的 习惯 最 重要 了 : 
更 新 主机 上 的 所 有 软件 : 如 有 果 你 的 浏览 器 是 没有 问题 的 ， 那 对 


递 
恶意 代码 时 ， 你 的 浏览 郁 束 不 会 执行 ， 那 自然 安全 的 多 啊 ! 


本 举例 来 说 ， 让 你 的 收 信和 软件 不 要 主动 的 下 载 文 
让 


你 的 浏览 器 在 安装 某 些 软 件 时 ， 要 通过 你 的 确认 后 才 安装 ， 这 样 束 比 
较 容易 克服 


一 些小 麻烦 ; 


ee 其 实 乌 哥 认为 这 个 才 最 难 ! 因为 很 多 时 候 
人 部 


用 google 在 搜寻 问题 的 解决 之 道 啊 ， 那 你 如 何 知 道 对 方 是 否 是 矣 人 
的 ? 所 以 ， 


前 面 两 点 防备 还 是 很 重要 的 ! 不 要 以 为 没有 连接 上 恶意 网 站 就 不 会 有 
问题 啊 ! 


D 
蠕虫 或 木马 的 rootkit 


rootkit 意思 是 说 可 以 取得 root 权限 的 一 群 工具 组 (kib， 就 如 同 前 面 主 
动 攻 击 


程序 漏洞 的 方法 一 样 ， rootkit 主要 也 是 透 过 主机 的 程序 漏洞 。 不 过 ， 


rootkit 也 会 


透 过 社交 工程 让 用 户 下载 、 安 装 rootkit 软件 ， 结果 让 cracker 得 以 简单 
的 绑架 对 


方 主机 啊 ! 


rootkit 除了 可 以 透 过 上 述 的 方法 来 进行 入 侵 之 外 ，rootkit 还 会 伪装 或 者 
是 进行 

自我 复制 ， 举例 来 说 ， 很 多 的 rootkit 本 身 就 是 蠕虫 或 者 是 木马 间谍 程 
序 。 蠕 虫 会 让 


你 的 主机 一 直 发 送 封包 向 外 攻击 ， 结果 会 让 你 的 网 络 带宽 被 吃 光 光 ， 
例如 2001-2003 


年 间 的 Nimda, Code Red 等 等 ， 至 于 木马 程序 (Trojan Horse) 则 会 对 你 
的 主机 进行 


开局 后 | ( 开 一 个 port 来 让 cracker 主动 的 入 侵 )， 结 果 束 是 .…. 绢 架 、 瑚 
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rootkit 其 实 挺 不 好 奶 踪 的， 因为 很 多 时 候 他 会 主动 的 去 修改 系统 观察 
网 指 及 二 包 


括 ls, top, netstat, ps, who, w last, find 等 等 ， 让 你 看 不 到 某 些 有 问题 的 程 
序 ， 


如 此 一 来 ， 你 的 Linux 主机 束 很 容易 被 当成 是 跳板 了 ! 有 够 危险 ! 那 
如 何 防备 呢 ? 


0 不 要 随意 安装 不 明 来 源 的 档案 或 者 是 不 明 网 站 的 档案 数据 


0 不 要 让 系统 有 太 多 和 危险 的 指令 : 例如 SUID/SGID 的 程序 ， 这 些 程序 
很 可 能 


会 造成 用 户 不 当 的 使 用 ， 而 使 得 木马 程序 有 机 可 趁 ! 
0 可 以 定时 以 rkhunter 之 类 的 软件 来 追查 ， 有 个 网 站 提供 rootkit 程序 
的 


仿 厚 ， 你 可 以 前 往 下 载 与 分 析 你 的 主机 .: 


http://www.rootkit.nl/projects/rootkit hunter.html 
UD 
DDoS 攻击 法 (Distributed Denial of Service ) 


这 类 型 的 攻击 中 文 翻译 成 【分 布 式 阻 断 服务 攻击 上 」， 从 字面 上 的 意义 
来 看 ， 它 束 旦 

透 过 分 散在 各 地 的 僵尸 计算 机 进行 攻击 ， 证 你 的 系统 所 提供 的 服务 被 
阻 断 而 无 法 顺利 


的 提供 服务 给 其 他 用 户 的 方式 。 这 种 攻击 法 也 很 要 命 ， 而 且 方 法 有 很 
多 ， 最 节 见 的 吏 


属 SYN Flood 攻 


SYN 的 TCP 封包 之 后 ， 就 会 启用 对 方 要 求 的 port 来 等 待 联机 ， 并 且 发 
送出 回应 封包 


( 带 有 SYN/ACK 旗 目 标 TCP 封包 )， 并 等 待 Client 端的 再 次 回应 。 


好 了 ， 在 这 个 步骤 当中 我 们 来 想 一 想 ， 如 果 cient 端 在 发 送出 SYN 的 
封包 后 ， 却 


将 来 目 Server 端的 确认 封包 丢弃 ， 那 么 你 的 Server 端 职 会 一 直 衬 等 ， 
而 且 Client 


端 可 以 透 过 软件 功能 ， 在 短 短 的 时 间 内 持续 发 送出 这 样 的 SYN 封包 ， 
那么 你 的 Server 


就 会 持续 不 断 的 发 送 确认 封包 ， 并 且 开 启 大 量 的 port 在 空 等 ~ 呵呵 ! 
等 到 全 部 主机 的 


port 都 局 用 完毕 ， 那 么 ..….. 系 统 就 挂 了 ! 


更 可 怕 的 是 ， 通 党 攻击 主机 的 一 方 不 会 只 有 一 部 ! 他 会 透 过 Internet 上 
面 的 僵尸 


网 络 (已 经 成 为 跳板 ， 但 网 站 主 却 没有 发 现 的 主机 ) 发 动 全 体 攻击 ， 让 
你 的 主机 在 短 时 


间 内 就 立刻 挂 点 。 这 种 DDoS 的 攻击 手法 比较 类 似 『 玉 石 俱 菊 4 的 手 
段 ， 他 不 是 入 侵 


你 的 系统 ， 而 是 要 让 你 的 系统 无 法 正常 提供 服务 ! 最 常 被 用 来 作为 阻 
断 式 服务 的 网 络 


服务 束 是 WWW 了 ， 因 为 WWW 通常 得 对 整个 Internet 开放 服务 。 


这 种 攻击 方法 也 是 最 难处 理 的 ， 因 为 要 咕 束 得 要 系统 核心 有 文 持 目 动 
抵挡 DDoS 攻 


击 的 机 制 ， 要 嘛 你 丈 得 要 自行 抒写 侦 测 软件 来 判断 ! 真是 麻烦 啊 一 而 
除非 你 的 网 站 非 


常 大 ， 并 且 『 得 排 不 少 人 3， 否则 应 该 不 会 被 DDoS 攻击 啦 ! 人 人 
四 
其 他 
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上 面 提 到 的 都 是 比较 常见 的 攻击 方法 ， 是 还 有 一 些 高 竿 的 攻击 法 啦 ， 
不 过 那些 攻击 


法 都 需要 有 比较 高 的 技术 水 准 ， 例 如 IP 欺骗 。 他 可 以 欺骗 你 主机 告知 
该 封包 来 源 是 来 


目 信 任 网 域 ， 而 且 透 过 封包 传送 的 机 制 ， 由 攻击 的 一 方 持续 的 主动 发 
送出 确认 封包 与 


工作 指令 。 如 此 一 来 ， 你 的 主机 可 能 束 会 误 判 该 封包 确实 有 啊 应 ， 而 
且 是 来 目 内 部 的 


ae 


不 过 我 们 知道 因特网 定 有 路 由 的 ， 而 每 部 主机 在 每 一 个 时 段 的 ACK 确 
认 码 都 不 相 


同 ， 所 以 这 个 方式 要 达成 可 以 登入 ， 会 比较 碎 烦 ， 所 以 说 ， 不 太 容 易 
发 生 在 我 们 这 些 


小 型 主机 上 面 啦 ! 不 过 你 还 是 得 要 注意 一 下 说 : 


和 利用 Linux 内 建 的 防火 墙 软件 iptables 建立 
次 


为 完善 的 防火 场 ， 可 以 防范 部 分 的 攻击 行为 ; 
这 部 份 比较 复杂 ， 你 必须 要 对 系统 核心 有 很 深入 的 了 解 ， 


办 法 设 定好 你 的 核心 网 络 功能 
0 登 孙 文 件 与 系统 监控 : 你 可 以 透 过 分 析 登 孙 文 件 来 了 解 系统 的 状况 ， 
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也 可 以 透 过 类 似 MRTG 之 类 的 监控 软件 来 实时 了 解 到 系统 是 否 有 异 
销 ， 这 些 工 


作 都 是 很 好 的 努力 方 癌 ! 
0 
小 结语 


要 让 你 的 系统 更 安全 ， 没 有 『 三 两 三 是 没 办 法 『 上 梁山 4 的! 我 们 
也 一 直 鼓 吹 ， 


『 维 护 网 站 比 染 设 网 站 还 要 重要 3 的 观念 ! 因为 『 一 人 得 道 鸡 大 升 
天 4 ， 同 样 的 道理 ; 


【一 人 中 标 全 员 挂 点 上 4 ， 不 要 以 为 你 的 主机 没有 喻 重要 数据 ， 被 入 侵 
或 被 植 入 木马 也 


没有 关系 ， 因为 我 们 的 服务 器 通常 会 对 内 部 来 源 的 主机 规范 的 较为 宽 
松 ， 如 采 你 的 主 


机 在 公司 内 部 ， 但 是 不 小 心 被 入 侵 的 话 ， 那 么 贵 公 司 的 服务 器 是 否 就 
会 骏 露 在 危险 的 


环境 当中 了 ? 


男 外 ， 在 蚂 虫 很 『 发 达 J 了 的 年 代 ， 我 们 也 会 发 现 只 要 局 域 网 络 里 面 有 
一 部 主机 中 标 ， 


整个 局 域 网 络 束 会 无 法 使 用 网 络 了 ， 因为 市 宽 已 经 被 蟾 虫 塞 爆 ! 如 来 
老板 发 现 他 今天 


没有 办 法 收 信 了 ， 但 无 法 收 信 的 原因 并 非 服务 器 挂 点 ， 而 是 因为 内 部 
人 员 的 茶 部 个 人 


计算 机 中 了 蠕虫 ， 而 那 部 主机 中 蠕虫 的 原因 只 是 因为 该 使 用 者 不 小 心 
去 看 了 一 下 色情 网 


站 ， 你 觉得 老板 会 高 兴 的 跟 该 员工 一 起 看 色情 网 站 还 是 fire 掉 该 人 


员 ? 


所 以 啊 ， 主 机 防护 还 是 很 重要 的 ! 不 要 小 看 了 ! 提供 几 个 方 网 给 大 家 
思考 看 看 吧 : 


1. 建立 完善 的 登入 密码 规则 限制 ; 
2. 完善 的 主机 权限 设 定 ; 
3. 设 定 目 动 升级 与 修补 软件 漏洞 、 及 移 除 危险 软件 ; 


4. 在 每 项 系统 服务 的 设 定 当 中 ， 强 化 安全 设 定 的 项 目 ; 
5. 利用 iptables, TCP_Wrappers 强化 网 络 防火 墙 ; 


ee MRTG 与 logwatch 来 分 析 主 机 状况 与 登录 文 
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7.1.3 主机 能 作 的 保护 : 软件 更 新 、 减 少 网 络 服 务 、 局 动 SELinux 


根据 本 章 前 面 的 分 析 ， 现 在 你 知道 封包 的 流向 以 及 主机 基本 需要 进行 
的 防护 了 。 不 


过 你 或 许 还 是 有 疑虑 ， 那 就 是 ， 既然 我 都 已 经 有 了 防火 墙 ， 那 么 权限 
的 控 管 啦 、 密 码 


的 严密 性 啦 、 服 务 器 软件 的 更 新 啦 、SELinux 啦 等 等 的 ， 是 否 就 没有 
这 么 重要 呢 ? 毕 


竟 它 是 封包 进入 的 第 一 关卡 ! 这 关 把 天 严 格 ， 后 续 可 以 稍微 宽松 吗 ? 
其 实 ... 你 错 了 ! 对 


于 开放 某 些 服务 的 服务 器 来 况 ， 你 的 防火 墙 『 根 本 跟 屁 一 样 ， 是 没有 
用 的 ! J 怎么 说 呢 ? 


0 
软件 更 新 的 重要 性 


趟 我们 瞧 一 瞧 图 7.1-1 的 流程 好 了 ， 假 设 你 需要 对 全 世界 开放 WWW 
， 那 么 提供 


WWW 服务 的 httpd 这 只 程序 束 得 要 执行 ， 并 且 ， 你 的 防火 墙 得 要 打开 
port 80 让 全 世 


界 都 可 以 连接 到 你 的 port 80 ， 这 样 才 是 一 部 合理 的 WWW 服务 器 嘛 ! 
问题 来 啦 ， 如 宁 


httpd 这 只 程序 有 资 安 方面 的 问题 时 ， 请 问 防火 墙 有 没有 效用 ? 当然 没 
有 ! 因为 防火 墙 


原本 束 得 要 开放 port 80 啊 ! 此 时 防火 墙 对 你 的 WWW 一 后 防 护 也 没 
有 “。 那 走 办 ? 


没 蛤 好 说 的 ， 束 是 软件 持续 更 新 到 最 新 瑟 对 了 ! 因为 目 由 软件 束 是 有 
让 


你 的 程序 有 问题 时 ， 开发 商会 在 最 短 的 时 间 内 取得 志 工 提供 的 修补 程 
序 (patch) ， 并 


将 该 程序 代码 补充 到 软件 更 新 数据 库 中 ， 让 一 般 用 户 可 以 直接 透 过 网 
络 来 目 动 更 新 。 


因此 ， 要 克服 这 个 服务 右 软 件 的 问题 ， 更 新 系统 软件 整 对 了 。 


但 是 你 得 要 注意 ， 你 的 系统 能 否 更 新 软件 与 系统 的 版 本 有 关 ! 举例 来 
说 ，2003 年 


左右 发 布 的 Red Hat 9 目前 已 经 没有 支持 了 ， 如 果 你 还 是 执意 要 安装 
Red Hat 9 这 


套 系 统 ， 那 么 很 抱歉 ， 你 得 要 手动 将 系统 内 的 软件 表 过 make 动作 来 重 
新 编译 到 最 新 版 ， 


因此 ， 很 磋 烦 一 同样 的 ， Fedora 最 新 版 虽然 有 提供 网 络 目 动 更 新 ， 但 


是 Fedora 每 一 


个 版 本 的 维护 期 间 较 短 ， 你 可 能 需要 常常 大 幅度 的 变更 你 的 版 本 ， 这 
对 服务 右 的 设 定 


也 不 受 当 。 此 时 一 个 企业 版 本 的 Linux distributions 就 很 重要 啦 ! 举例 
来 说 ， 乌 站 


的 主机 截至 目前 为 止 (2011/07) 还 是 使 用 CentOS 4.x ， 因 为 这 个 版 本 目 


前 还 是 持续 


维护 中 。 这 对 服务 器 来 说 ， 是 相当 重要 的 ! 稳定 与 安全 比 什 么 都 重 
要 | 


想 要 了 解 软件 的 安全 通报 ， 可 以 参考 如 下 的 网 站 数据 喔 ! 

0 台湾 计算 机 危机 处 理 小 组 (TWCERT):_http:/www.cert.org,tw/ 
0D Red Hat 的 官方 说 明 :_https:/www.redhat.conmy/support/ 

0 

认识 系统 服务 的 重要 性 
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竺 回 到 图 7.1-1 当中 ， 同 时 思考 一 下 第 二 章 网 络 基 础 里 面谈 到 的 网 络 联 
机 是 双 回 


这 件 事 ， 我 们 会 得 到 一 个 答案 ， 那 吏 是 在 图 7.1-1 内 的 第 二 个 步骤 中 ， 
如 琳 能 够 减少 


服务 右上 面 的 监听 塌 口 ， 此 时 因为 服务 紫 痢 没有 可 供 联机 的 塌 口 ， 客 
尸 闹 当然 也 束 无 


法 联机 到 服务 器 端 嘛 ! 那么 如 何 限制 服务 器 开启 的 埋 口 呢 ? 第 二 草 就 
谈 到 过 了 ， 关 财 


塌 口 的 方式 钙 透 过 关闭 网 络 服务 。 没 锯 啊 ! 所 以 踊 ， 此 时 能 够 减少 网 
络 服务 束 减 少 ， 可 


以 避免 很 多 不 必要 的 厅 烦 。 
0 


权限 与 SELinux 的 辅助 


根据 网 络 上 面 多 年 来 的 观察 ， 很 多 朋友 在 发 生 权 限 不 足 方面 的 问题 
后 ， 都 会 直接 将 


某 个 目录 直接 修订 成 为 chmod -R 777 /some/path/。 如 果 这 部 主机 只 是 
测试 用 的 没有 


上 网 提供 服务 ， 那 还 好 。 如 末 有 上 网 提供 某 些 服务 时 ， 那 可 就 伤 脑筋 
了 ! 因为 目 邓 的 wx 


权限 设 定 一 起 后 ， 代表 该 身份 可 以 进行 新 增 与 删除 的 动作 。 偏 偏 你 又 
给 777 


(rwxrwxrwx) ， 代 表 所 有 的 人 都 可 以 在 该 目 台 下 进行 新 增 与 删除 ! 万 一 
不 小 心 某 文 程 


序 被 攻击 而 被 取得 操作 权 ， 想 想 看 ， 你 的 系统 不 整 可 能 被 写 入 某 些 可 
怕 的 东西 了 吗 ? 所 


以 不 要 随便 设 定 权 限 啊 ! 


那 如 琳 由 于 当初 规划 的 账号 映 份 与 群 组 设 定 的 太 杂 乱 ， 导 致 无 法 使 用 
单纯 的 三 种 里 


份 的 三 种 权限 来 设 定 你 的 系统 时 ， 那 该 如 何 是 好 ? 没关系 的 ， 可 以 透 
过 ACL 这 个 好 用 


的 东西 ! ACL 可 以 针对 单一 账号 或 单一 群 组 进行 特定 的 权限 设 定 ， 相 
当 好 用 喔 ! 他 可 


以 辅助 传统 Unix 的 权限 设 定 方面 的 困扰 哩 。 详 情 请 参考 基础 篇 的 内 容 
哆 ! 


那 如 何 避 免 用 户 乱用 系统 ， 乱 设 定 权 限 呢 ? 这 个 时 候 就 得 要 透 过 
SELinux 来 控制 


了 。 SELinux 可 以 在 程序 与 档案 之 间 再 加 入 一 道 细部 的 权限 控制 ， 因 
此 ， 即 使 程序 与 档 


案 的 权限 符合 了 操作 动作 ， 但 如 果 程 序 与 档案 的 SELinux 类 型 (type) 
不 吻合 时 ， 那 


么 该 程序 就 无 法 读 取 该 档案 喔 ! 此 外 ， 我 们 的 CentOS 也 针对 了 某 些 
常用 的 网 络 服务 


制订 了 许多 的 档案 使 用 规则 (Grole)， 如 果 这 些 规则 没有 启用 ， 那么 即使 
权限 、SELinux 


类 型 部 对 了 ， 该 网 络 服务 的 功能 还 是 无 法 顺利 的 运作 喔 ! 


根据 这 样 的 分 析 ， 我 们 可 以 知道 ， 随 时 更 新 系统 软件 、 限 制 联机 端口 
口 以 及 透 过 局 


动 SELinux 来 限制 网 络 服务 的 权限 ， 经 过 这 三 个 简单 的 步骤 ， 你 的 系 
统 将 可 以 获得 相 


当 大 的 保护 ! 当然 啦 ， 后 续 的 防火 墙 以 及 系统 注册 表 档 分 析 工 作 仍 是 
需要 进行 的 。 本 


章 后 续 将 依据 这 三 点 来 深入 介绍 。 
7.2 网 络 目 动 升 级 软件 
net.giang@hotmail.com 
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在 现在 的 因特网 上 面 ，cracker 实在 是 太 多 了 1! 这些 | 内 人 会 利用 已 经 存 
在 的 系统 漏 


洞 ， 来 进行 侦 测 、 入 侵 你 的 主机 。 因此 ， 除 了 未 来 架设 防火 墙 之 外 ， 
最 重要 的 Linux 日 


常 管理 工作 ， 莫 过 于 软件 的 升级 了 ! 不 过 ， 如 果 使 用 者 还 得 要 自己 每 
天 观察 网 络 安全 


通报 ， 并 主动 去 查询 各 大 distribution 针对 这 些 漏 洞 来 提供 升级 软件 
包 ， 那 真 古 太 


不 人 性 化 了 ! 因此 ， 目 前 就 有 很 多 在 线 直 接 更 新 的 机 制 出 现 了 ! 有 了 
这 些 在 线 直 接 更 新 


Ne 
多 哎 ! 


7.2.1 如 何 进 行 软件 升级 


通 稼 乌 哥 安装 好 Linux 之 后 ， 会 完 开启 系统 默认 的 防火 墙 机 制 ， 然 后 
第 一 件 事 情 


就 是 进行 全 系统 更 新 啦 ! 不 论 是 哪 一 套 Linux 乌 哥 都 是 这 样 做 的 ， 因 
为 要 避免 软件 次 


安 的 问题 嘛 ! 好 了 ， 那 么 Linux 上 面 的 软件 该 如 何 进行 更 新 与 升级 
呢 ? 还 记得 你 是 如 


何 安装 软件 的 吗 ? 不 就 是 rpm, tarball 与 dpkg 吗 ? 所 以 哩 ， 你 的 软件 
如 果 想 要 升 


级 ， 那 就 得 依据 当时 你 安装 该 软件 的 方式 来 进行 升级 啊 ! 而 每 种 方式 
都 有 其 适用 性 : 


UD RPM 


这 是 目前 最 常见 于 Linux distribution 当中 的 软件 管理 方式 ， 包 括 
CentOS/ 


Fedora / SuSE /Red Hat / Mandriva 等 等 ， 都 是 使 用 这 个 方式 来 管理 的 ; 


[] Tarball: 


利用 软件 的 官方 网 站 所 笠 出 的 原始 码 在 您 的 系 统 上 而 编译 与 安装 ， 一 
股 来 说 ， 


由 于 软件 是 直接 在 自己 的 机 器 上 面 编译 的 ， 所 以 效能 会 比较 好 一 些 。 
不 过 , 升 

级 的 时 候 就 比较 麻烦 ， 因 为 又 得 要 下 载 新 的 原始 码 并 且 重新 编译 一 
次 。 这 种 安 


装 模 式 常见 于 某 些 特殊 软件 (没有 包含 在 distribution 当中 )， 或 者 是 
Gentoo 


这 个 强调 效能 的 distribution: 
U dpkg: 


是 debian 这 个 distribution 所 使 用 的 软件 管理 方式 ， 与 RPM 很 类 似 ， 
都 是 


透 过 预先 编译 的 处 理 ， 可 以 让 end user 直接 使 用 来 升级 与 安装 。 


举例 来 说 ， 如 果 你 的 系统 是 CentOS ， 我 们 知道 他 使 用 的 是 RPM 类 型 
的 软件 管理 


模式 ， 那 如 果 你 想 要 安装 B2D 的 软件 怎 办 ? 要 注意 ，B2D 是 使 用 
debian 的 dpkg 来 


管理 软件 的 ， 两 者 并 不 相同 啊 ! 要 互相 安装 太 难 了 ! 所 以 说 ， 要 升级 
的 话 ， 得 完了 解 


到 你 系统 上 的 软件 安装 与 管理 的 方法 才 行 。 


不 过 ， 有 个 特殊 案例 ， 那 束 是 旧版 本 的 Linux (例如 Red Hat 9) 的 软件 
升级 该 如 


何 是 好 ? 由 于 旧版 本 的 软件 支持 度 本 来 本 比较 莽 ， 商 业 公司 或 者 是 社 
群 也 没有 这 人 么 多 


心力 放 在 旧版 本 的 文 择 上 ， 所 以 ， 你 这 个 时 候 可 以 选择 : (1) 升 级 到 较 
新 的 版 本 ， 例 


如 CentOS 6.x， 或 者 是 (2) 利 用 Tarball 来 自行 升级 核心 与 软件 。 不 过 ， 
比较 建议 升 


级 到 新 版 本 啦 ， 因 为 要 目 行 以 手动 方式 由 Tarball 安装 到 最 新 的 版 本 ， 
实在 是 很 费时 


费力 ， 而 且 还 得 要 第 党 查阅 官方 网 站 所 推出 的 最 新 消息 ， 源 过 一 则 都 
可 能 发 生 无 法 预 


期 的 状况 。 
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我 们 都 晓得 在 Windows 的 环境 下 ， 他 有 提供 一 个 Live update 的 项 目 可 
以 自动 的 


在 线 升级 ， 甚至 很 多 的 防 病毒 软件 与 防 木马 软件 也 都 有 推出 实时 的 在 
线 更 新 ， 如 此 一 


来 可 以 让 您 的 软件 维持 在 最 新 版 的 状况 ， 真是 好 啊 ! 喷 ! 那 我 们 的 
Linux 是 否 有 这 样 


的 功能 ? 如 果 有 的 话 ， 那 么 系统 自动 进行 软件 升级 ， 不 就 可 以 轻松 又 
快乐 了 ? 没 错 ! 


确实 是 这 样 的 ! 所 以 就 让 我 们 来 谈 一 谈 Linux 的 在 线 升级 机 制 吧 ! 


在 Linux 最 常见 的 软件 安装 方式 : RPM /Tarball / dpkg 当中 ，Tarball 
由 于 


取得 的 是 原始 码 ， 所 以 要 用 Tarball 来 作 在 线 自动 更 新 是 不 太 可 能 进行 
的 ， 所 以 仅 能 


用 RPM 或 dpkg 这 两 种 软件 管理 的 方式 来 进行 在 线 更 新 了 。 


但 RPM 与 dpkg 不 是 有 所 谓 的 相依 属性 吗 ? 这 倒 不 需要 担心 呐 ! 因为 
我 们 的 RPM 


与 dpkg 软件 档案 都 有 一 些 软件 的 基本 信息 ， 并 同时 记录 了 软件 的 相依 
属性 (记得 使 


用 rpm -q 的 查询 吗 )， 所 以 当 分 析 这 些 基本 信息 并 使 用 一 些 机制 将 这 些 
相依 信息 记录 


下 来 后 ， 再 透 过 一 些 人 额外 的 网 络 功能 ， 丈 能 够 目 动 的 分 析 你 的 系统 
修补 软件 之 间 的 


差异 ， 并 可 进一步 帮 你 分 析 所 需要 升级 与 相依 属性 的 软件 ， 就 可 达成 
自动 升级 的 理想 


啦 | 


由 于 各 家 distributions 在 管理 系统 上 都 有 自己 独特 的 想法 ， 所 以 在 分 析 
RPM 或 


dpkg 软件 与 方式 上 面 束 有 所 人 不同， 也 殊 有 奈 下 这 旦 不 同 的 在 线 升 级 机 


制 啦 : 


DU yum: 


CentOS 与 Fedora 所 篆 用 的 目 动 升 级 机 制 ， 透 过 FTP 或 WWW 来 进行 
在 线 升级 


以 及 在 线 直接 安装 软件 ; 

D apt: 

最 早 由 debian 这 个 distribution 所 发 展 ， 现 在 B2D 也 是 使 用 apt ， 同 时 
由 


于 apt 的 可 移植 性 ， 所 以 只 要 你 的 RPM 可 以 使 用 apt 来 管理 的 话 ， 就 
可 以 目 


行 建立 apt 服务 器 来 提供 其 他 使 用 者 进 行 在 线 安 装 与 升级 。 
品 YOU: 


所 谓 的 Yast Online Update (YOU) 是 由 SuSE 所 自行 开发 出 来 的 在 线 安 
闭 升 级 


方式 ， 经 过 注册 取得 一 组 账号 密码 后 ， 就 能 够 使 用 you 的 机 制 来 进行 
在 线 升级 。 


不 过 如 果 坪 免费 的 版 本 ， 则 仅 有 60 天 的 试用 期 ! 


D urpmi: 
这 个 则 是 Mandriva 所 提供 的 在 线 升级 机 制 ! 


讲 了 这 些 升级 机 制 并 且 与 distribution 作 了 对 应 ， 你 就 该 了 解 到 : 『 每 
个 


distribution 可 以 使 用 的 在 线 升级 机 制 部 不 相同 4 的 啊 ! 所 以 请 参考 你 的 
distribution 所 提供 的 文件 来 进行 在 线 升 级 的 设 定 喔 ! 否则 束 得 要 目 行 手 
动 下 载 安装 

TT! @@ 


乌 哥 这 里 都 是 使 用 CentOS 这 个 Red Hat 兼容 的 distributions 来 介绍 
的 ， 因 此 ， 


底下 仅 介 绍 了 yum 而 已 。 不过，yum 已 经 能 够 适用 于 CentOS, Red Hat 


Enterprise 


Linux, Fedora 等 等 ， 也 应 该 是 挺 够 用 的 了 ! 为 外 ， 基 础 篇 里 面 已 经 谈 
过 rpm 与 yum 


的 用 法 ， 所 以 在 这 里 仅 是 加 强 介 绍 与 更 新 有 关 的 用 法 而 已 喔 ! 
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容 絮 袜 料 清香 、 实际 核 位 日 录 


/pathjrepodata/ 清 宣 FTPmhttp 均 可 


清 罕 记 录 


/varicache/yum/ 


Linux 用 所 馈 


7.2.2 CentOS 的 yum 软件 更 新 、 映 像 站 使 用 的 原理 


我 们 曾经 在 基础 篇 里 面谈 过 yum 了 ， 基 本 上 他 的 原理 是 ， 我 们 的 
CentOS 会 跑 到 


yum 服务 器 上 头 ， 下 载 了 官方 网 站 释 出 的 RPM 表 头 列表 数据 ， 该 数据 
除了 记载 每 个 RPM 


软件 的 相依 性 之 外 ， 也 说 明了 RPM 档案 所 放置 的 容 需 (repository) 所 
在 。 因 此 透 过 


分 析 这 些 数 据 ， 我 们 的 CentOS 就 能 够 直接 使 用 yum 去 下 载 与 安装 所 
需要 的 软件 了 ! 


详细 多 标 与 流程 有 点 像 这 样 : 

图 7.2-1、 使 用 yum 下 载 清单 表 头 与 取得 容器 相关 资料 示意 图 
1. 先 由 配置 文件 判断 yum server 所 在 IP 地 址 ; 

2. 连接 到 yum server 后 ， 先 下 载 新 的 RPM 档案 的 表 头 数据 ; 
3. 分 析 比 较 使 用 者 所 欲 安装 /升级 的 档案 ， 并 提供 使 用 者 确认 ; 


4. 下 载 用 户 选 择 的 档案 到 系统 中 的 /var/cache/yum ， 并 进行 实际 安装 ; 


由 于 你 所 下 载 的 清单 当中 已 经 台 有 所 有 官方 网 站 所 释 出 的 RPM 档案 的 
表 头 相依 属 


性 的 关系 ， 所 以 如 果 你 想 要 安装 的 软件 包含 某 些 尚未 安装 的 相依 软件 
时 ， 我 们 的 yum 


会 顺便 帮 你 下 载 所 需要 的 其 他 软件 ， 预 安装 后 ， 再 安装 你 所 实际 需要 
的 软件 ! 从 分 析 、 


下 载 到 安装 ， 全 部 一 口气 搞定 ! 很 简单 的 啦 |! 


不 过 ， 玖 怕 还 是 有 问题 。 如 果 全 世界 使 用 CentOS 的 朋友 通通 联机 到 同 
一 部 Yum 服 


务 器 去 下 载 所 需要 的 RPM 档案 ， 哇 ! 那 带宽 不 就 很 容易 被 塞 爆 ! 那 怎 
办 ? 没关系 ， 有 


所 谓 的 映射 站 啊 ! CentOS 在 世界 各 地 都 有 映像 站 ， 这 些 映 像 站 会 将 官 
网 的 yum 服务 


器 的 数据 复制 一 份 ， 同 时 在 映射 站 上 面 也 提供 同样 的 yum 功能 ， 
此 ， 你 可 以 在 任何 


一 部 yum 服务 器 的 映像 站 上 面 下 载 与 安装 软件 。 底 下 是 CentOS 官网 
上 面 列 出 的 亚洲 


LD http://www.centos.org/modules/tinycontent/index.php?id=32 
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0 


现在 的 yum 又 很 孢 明 ， 写 会 目 动 的 去 分 析 离 你 的 主机 骤 近 的 那 部 映射 
站 ， 然 后 直 


接 使 用 该 部 映像 主机 作为 你 的 yum 来 源 ， 因 此 ，『 理 论 上 J 你 不 需要 
更 动 任何 设 定 ， 


下台 湾 ， 你 的 CentOS 吏 会 使 用 台湾 地 区 的 yum 服务 器 哎 ! 就 这 么 位 
时 | 斯 以 报 下 


来 就 让 我 们 直接 来 谈 谈 怎么 使 用 yum 吧 

Tips: 

yum 的 原理 与 相关 使 用 ， 我 们 在 基础 篇 里 面 已 经 分 门 别 类 的 介绍 过 
了 ， 因 此 底下 仅 就 比较 重要 的 部 分 介绍 一 下 吧 ， 

7.2.3 yum 的 使 用 : 安装, 软件 群 组 , 全 系统 更 新 

yum 可 不 止 能 够 在 线 自动 升级 而 已 ， 他 还 可 以 作 查 询 、 软 件 群 组 的 安 


装 、 整 体 版 本 

的 升级 等 等 ， 好 用 的 哩 ! 先 来 谈论 一 下 yum 这 个 指令 的 用 法 吧 : 
[root@www ~]# yum [option] [查询 的 工作 项 目 ] [相关 参数 ] 
选项 与 参数 : 

option: 主要 的 参数 ， 包 括 有 : 

4 0 0 i 


0 
百 : 


install : 指定 安装 的 软件 名 称 ， 所 以 后 面 需 接 『 软件 名 称 J 


人 进行 整体 升级 的 行为 ;当然 也 可 以 接 某 个 软件 ， 仅 升级 一 个 
次 


tr 

remove : 移 除 某 个 软件 ， 后 面 需 接 软 件 名 称 ; 

search : 搜寻 采 个 软件 或 者 是 重要 关键 字 ; 

list : 列 出 目前 yum 所 管理 的 所 有 的 软件 名 称 与 版 本 ， 有 点 类 似 rpm 


-qa; 
info : 同上 ， 不 过 有 点 类 似 rpm -qai 的 执行 结果 ; 
clean : 

下 载 的 档案 被 放 到 /var/cache/yum ， 

可 使 用 clean 将 他 移 除 ， 

可 清除 的 项 目 : packages | headers | metadata | cache 等 ; 


在 [查询 的 工作 项 目 ] 部 分 还 可 以 具有 整个 群 组 软件 的 安装 方式 ， 如 下 所 
修 \: 


grouplist : 列 出 所 有 可 使 用 的 『 软 件 群 组 4 ， 例 如 Development Tools 
之 类 的 ; 

groupinfo : 后 面 接 group_name， 则 可 了 解 该 group 内 含 的 所 有 软件 
2 

groupinstall: 这 个 好 用 ! 可 以 安装 一 整 组 的 软件 群 组 ， 相 当 的 不 错 用 ! 
更 常 与 --installroot=/some/path 共享 来 安装 新 系统 


groupremove : 移 除 某 个 软件 群 组 ; 
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# 范例 一 : 搜寻 CentOS 官网 提供 的 软件 名 称 和 是 人 否 有 与 RAID 有 关 的 ? 


[root@www ~]#yum search raid 


Loaded plugins: fastestmirror 


Loading mirror speeds from cached hostfile <== 这 里 束 是 在 测试 最 快 的 


映射 站 


* base: ftp.isu.edu.tw <== 共 有 四 个 容 絮 内 容 


* extras: ftp.isu.edu.tw <== 每 个 容 妖 都 在 
ftp.isu.edu.tw 上 

* updates: ftp.isu.edu.tw 

base | 3.7 kB 00:00 <== 下 载 软件 的 表 头 
列表 中 

extras | 951 B 00:00 


updates | 3.5 kB 00:00 


的 结果 如 下 


dmraid.i686 : dmraid (Device-mapper RAID tool and library) 


…( 中 间 省 略 )..… 


mdadm.x86_64 : The mdadm program controls Linux md devices (software 


RAID 


.…( 底 下 省 略 ).… 

# 范例 二 : 上 述 和 输出 结 有 末 中 ， mdadm 的 功能 为 何 ? 
[root@www ~]# yum info mdadm 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 

* base: ftp.twaren.net 

* extras: ftp.twaren.net 


* updates: ftp.twaren.net 


Installed Packages <== 这 里 说 明 这 是 已 经 安装 的 软件 ! 
Name : mdadm 

Arch : X86 64 

Version : 3.1.3 

Release : 1.el6 

Size : 667 k 

Repo : installed 

From repo : anaconda-CentOS-201106060106.x86_64 
Summary : The mdadm program controls Linux md devices (software RAID 
URL : http:/www.kernel.org/pub/linux/utils/raid/mdadm/ 
License : GPLv2+ 


Description: The mdadm program is used to create, manage, and monitor 


.…( 底 下 省 略 ).… 
# 由 上 述 底 线 的 Summary 关键 词 ， 知 道 这 软件 在 达成 软件 磁盘 阵列 功 


能 ! ! 
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yum 真 古 个 很 好 用 的 东西 ， 它 可 以 直接 查询 是 否 有 某 些 符 殊 的 软件 名 
称 。 举 例 来 说 ， 你 


可 以 利用 底下 的 两 个 方式 取得 软件 名 称 : 
[yum search "一 些 关 键 词 " 
0 yum list (可 列 出 所 有 的 软件 文件 名 ) 


然后 再 以 正规 表示 法 取得 关键 词 ， 或 者 是 『 yum info "软件 名 称 " 4 就 
能 够 知道 


该 软件 的 用 途 ， 最 后 再 决定 要 不 要 安装 啊 ! 上 面 的 范例 一 就 是 在 找 出 
位 副 阵 列 的 绾 理 软 


件 。 如 果 确 定 要 安装 时 ， 那 束 参 考 参 考 改 下 的 流程 吧 ! 
四 
利用 yum 进行 安装 


# 范例 三 : 安装 某 个 软件 吧 ! 以 mdadm 这 个 软件 名 为 例 : 


[root@Owww ~]# yum install mdadm 

…( 前 面 省 略 )..… 

Setting up Install Process 

Package mdadm-3.1.3-1.el6.x86_64 already installed and latest version 


Nothing to do 


[root@Owww ~]# yum install mdadma 
Setting up Install Process 

No package mdadma available. 
Nothing to do 


仔细 的 看 上 述 的 两 个 指令 ， 第 二 个 指令 乌 哥 故意 写 错字 ， 让 软件 名 称 
由 mdadm 变 成 

mdadma 了 ! 仿真 同学 如 果 打 错字 时 所 输出 的 讯 忌 。 由 上 述 的 讯 恩 你 可 
以 知道 ， 同 样 结 


果 是 『Nothing to do4 ， 但 是 yum 会 告诉 你 该 软件 是 『 已 安装 (installed 
and lastest 


version)」 还 是 『 没 有 该 软件 (No package mdadma avaliable)4。 作 这 个 
汇 例 是 希望 


朋友 们 能 够 仔细 的 看 输出 的 讯息 啦 ! 好 啦 ! 我 们 还 是 来 安装 一 个 不 


竣 过 的 ， 束 拿 


javacc 这 套 软 件 来 外 看 看 好 了 ! 


王 


[root@www ~]# yum list javacc* 

Available Packages 

javacc.x86_64 4.1-0.5.el6 base 

javacc-demo.x86_64 4.1-0.5.el6 base 

javacc-manual.x86_64 4.1-0.5.el6 base 

# 共有 三 套 软件 ， 分 别 是 javacc, javacc-demo, javacc-manual ， 版 本 为 


4.1-0.5.el6, 


# 软件 是 放置 到 名 称 为 base 的 容器 当中 存放 的 。 
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[root@www ~]# yum install javacc 
…( 前 面 省 略 )..… 

Setting up Install Process 


Resolving Dependencies 


--> Running transaction check <== 开 始 检 查 有 没有 相依 属性 的 软件 问题 


---> Package javacc.x86_64 0:4.1-0.5.el6 set to be updated 


…( 中 间 省 略 )..… 


Size 


Installing: 

javacc x86_64 4.1-0.5.el6 base 

895 k 

Installing for dependencies: 

java-1.5.0-gcj x86_64 1.5.0.0-29.1.el6 base 


139k 


java_cup x86_64 1:0.10k-5.el6 base 
197 kk 

sinjdoc x86_64 0.5-9.1.el6 base 
705k 


Transaction Summary 


Install 4 Package(s) <== 安 装 软件 汇 整 ， 共 安装 4 个 ， 升 级 0 个 软 
任 

Upgrade 0 Package(s) 

Total download size: 1.9 M 

Installed size: 5.6 M 

Is this ok [y/N]: y <== 让 你 确认 要 下 载 否 ! 

Downloading Packages: 

(1/4): java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64.rpm | 139 kB 
00:00 

(2/4): java_cup-0.10k-5.el6.x86_64.rpm | 197 kB 

00:00 

(3/4): javacc-4.1-0.5.el6.x86_64.rpm | 895 kB 


00:00 


(4/4): sinjdoc-0.5-9.1.el6.x86_64.rpm | 705 kB 
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00:00 

Total 3.1 MB/s | 1.9 MB 

00:00 

Running rpm_check_debug 

Running Transaction Test 

Transaction Test Succeeded 

Running Transaction 

Installing : java-1.5.0-gcj-1.5.0.0-29.1.el6.x86_64 
1/4 

Installing : 1:java_cup-0.10k-5.el6.x86_64 

2/4 

Installing : sinjdoc-0.5-9.1.el6.x86_64 

3/4 

Installing : javacc-4.1-0.5.el6.x86_64 

4/4 

Installed: <== 主 要 需要 安装 的 


javacc.x86_64 0:4.1-0.5.el6 


Dependency Installed: <== 为 解决 相依 性 额外 闭 的 
java-1.5.0-gcj.x86_64 0:1.5.0.0-29.1.el6 java_cup.x86_64 
1:0.10k-5.el6 

sinjdoc.x86_64 0:0.5-9.1.el6 


Complete! 


瞎 ! 经 过 yum 我 们 可 以 很 轻松 的 就 安装 好 一 个 软件 ， 并 且 这 个 软件 已 
经 主动 的 帮 我 们 


做 好 相依 属性 的 克服 了 ， 真 是 方便 到 爆 ! 另外 ，CentOS 6.x 默认 的 情 
况 下 ，yum 下 载 


的 数据 除了 每 个 容器 的 表 头 清单 档案 之 外 ， 所 有 下 载 的 RPM 档案 都 会 
在 安装 完毕 之 后 


予以 删除 ! 这 样 你 的 系统 吏 不 会 有 容量 被 下 载 的 数据 塞 爆 的 问题 。 但 
如 果 你 想 要 下 载 


的 RPM 档案 继续 保留 在 /var/cache/yum 当中 ， 职 得 要 修改 
/etc/yum.conf 配置 文件 


了! 
[root@www ~]# vim /etc/yum.conf <== 看 看 就 好 ， 不 要 真 的 作 ! 


[main] 
cachedir=/var/cache/yum/$basearch/$releasever 
keepcache=1 

debuglevel=2 


logfile=/var/log/yum.log 


exactarch=1 
obsoletes=1 
net.giang@hotmail.com 
.…( 底 下 省 略 ).…. 


上 述 的 特殊 字体 地 方 将 0 改 成 1 ， 这 样 束 能 够 让 你 的 RPM 档案 保存 下 
来 。 不 过 ， 除 


非 你 有 好 多 部 主机 要 更 新 ， 你 想 利 用 一 台 先 yum 升级 且 下 载 ， 然 后 将 
所 有 的 RPM 档 


案 收 集 起 来 给 内 网 的 机 需 升 级 (rpm -Fvh *.rpm) 之 外 ， 上面 的 vim 修改 
动作 不 建议 


修改 ! 因为 你 的 /var 仿 怕 会 被 宪 爆 啊 ! 再 次 提醒 ! 
0 
yum 安装 软件 群 组 


什么 是 了 软件 群 组 ] 呢 ?由 于 RPM 软件 将 一 个 大 项 目 分 成 好 几 个 小 计 
划 来 执行 ， 

每 个 小 计划 都 可 以 独立 安装 ， 这样 的 好 处 是 可 以 让 使 用 者 与 软件 开发 
者 安装 不 同 的 环 


境 ! 举例 来 说 ， 在 桌面 系统 中 (Desktop)， 一 般 用 户 应 该 不 会 跑 去 发 展 
软件 吧 ? 所 以 


针对 揭 面 计算 机 ， 软 件 群 组 又 分 为 "Desktop Platform'" 与 开发 者 


"Desktop Platform 


Development" 两 部 份 ， 每 个 软件 群 组 内 又 含有 多 个 不 同 的 RPM 软件 
档案 ! 这 样 做 的 


用 途 是 方便 使 用 者 安装 一 整套 的 项 目 啦 ! 


那么 系统 有 多 少 软 件 群 组 呢 ? 又 该 如 何 观 察 某 个 软件 群 组 有 拥有 的 
RPM 档案 呢 ? 


我 们 束 利 用 Desktop Platform 这 个 项 目 来 说 明 一 下 哎 : 
# 范例 四 : 查询 系统 有 的 软件 群 组 有 多 少 个 ? 
[root@www ~]# LANG=C yum grouplist 

Installed Groups: <== 这 个 是 已 安装 的 软件 群 组 
Additional Development 

Arabic Support 

Armenian Support 

Base 

…( 中 间 省 略 )..… 

Available Groups: <== 这 个 是 尚 可 安装 的 软件 群 组 
Afrikaans Support 

Albanian Support 

Amazigh Support 

…( 中 间 省 略 )..… 

Desktop Platform 


Desktop Platform Development 


.…( 后 面 省 略 ).…. 


# 范例 五 : 那么 Desktop Platform 内 含 多 少 个 RPM 软件 呢 ? 
[root@www ~]# yum groupinfo "Desktop Platform 
Group: 桌面 环境 平台 

Description: 受 文 援 的 CentOS Linux 桌面 平台 辑 式 库 。 
net.giang@hotmail.com 

Mandatory Packages: <== 主 要 的 会 被 安装 的 软件 有 这 些 
atk 

.…( 中 间 省 略 )… 

Optional Packages: <== 额 外 可 选择 的 软件 是 这 些 
qt-mysql 

.…( 底 下 省 略 ).… 

# 如 采 你 确定 要 安装 这 个 软件 群 组 的 话 ， 那 就 这 样 做 : 
[root@www ~]# yum groupinstall "Desktop Platform" 


# 因为 这 里 在 介绍 服务 器 的 环境 ， 所 以 上 面 的 动作 鸟 哥 是 按 下 n 来 拒绝 
安装 


的 ! 


利用 这 个 『 yum groupinstall "软件 群 组 名 " 4 可 以 让 你 一 口气 安装 很 多 
的 软件 ， 而 


不 必 担 心 某 个 软件 起 记 狠 了 ! 实在 是 很 不 错 啦 一 而 且 利用 groupinfo 的 
功能 你 也 可 以 


发 现 一 些 不 错 的 软件 数据 ， 如 此 一 来 ， 你 束 可 以 更 方便 的 管理 你 的 
Linux 系统 了 了， 很 


不 错 吧 
0 
全 系统 更 新 


我 们 都 知道 使 用 『yum updateJ 束 可 以 进行 软件 的 更 新 。 不 过 你 晓得 
吗 ? yum update 


也 可 以 直接 进行 同一 版 本 的 升级 喔 ! 举例 来 说 ， 你 可 以 从 6.0 升级 到 
6.1 版 本 哩 ! 而 


且 中 间 过 程 完全 无 痛 哆 ! 束 跟 一 般 软件 升级 而 已 ， 并 没有 不 同 喉 ! 够 
愉快 吧 ! 


不 过 ， 如 果 你 是 想 要 从 较 旧 版 的 CentOS 5.x 升级 到 6.x 的 话 ， 那 么 可 
能 束 得 要 


多 费 些 功夫 了 。 为 蛤 不 要 重治 比较 快 呢 ? 因 为 你 可 能 已 经 有 些 数 据 设 
走 好 ; 所 以 个 想 变 


更 嘛 ! 但 老实 说 ,不 同 版 本 (ex> 5.x --> 6.x) 间 的 升级 最 好 还 是 不 要 尝 
试 啦 ! 重新 


安装 可 能 是 最 好 的 状况 。 底下 列 出 酷 学 园 的 前 寿 提 供 的 升级 方式 ， 以 
及 CentOS 官网 


直接 提供 的 升级 方式 给 你 参考 参考 : 


0 酷 学 园 TWU2 兄 提供 的 Red Hat 9 升级 到 CentOS 3.x 的 方法 : 


tml 


0 CentOS 维基 百科 提供 的 CentOS 4.4 升级 到 5.1 的 方法 : 
http://wiki.centos.org/HowTos/MigrationGuide/ServerCD 4.4 to 5 
例题 : 

请 设 定 一 下 工作 排 程 ， 让 你 的 CentOS 可 以 每 天 自动 更 新 系统 


竹 -. 
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可 以 使 用 『 crontab -e 4 来 动作 ， 也 可 以 编辑 『 vim /etc/crontab J 
来 动作 ， 由 于 这 个 更 新 是 系统 方面 的 ， 所 以 乌 哥 习惯 使 用 vim 


/etc/crontab 来 

进行 指令 的 说 明 。 其 实 内 容 很 简单 : 

40 5 * * * root yum -yupdate && yum clean packages 

这 样 就 可 以 自动 更 新 了 ， 时 间 订 在 每 天 的 凌晨 5:40 。 

7.2.4 挑选 特定 的 映射 站 : 修改 yum 配置 文件 与 清除 yum 快 取 

yum 是 你 的 主机 能 够 联机 上 Internet 就 可 以 直接 使 用 的 ， 不 过 ， 
CentOS 的 映射 站 台 可 能 会 选 错 ， 举例 来 说 ， 我 们 在 台湾 ， 但 是 
CentOS 的 映射 站 合 却 


选择 到 了 大 陆 北京 或 者 生日 本 去 ， 有 没有 可 能 发 生 啊 ! 有 啊 ! 乌 哥 教 
学 方面 束 冲 音 发 


生 这 样 的 问题 ， 要 知道 ， 我 们 联机 到 大 陆 或 日 本 的 速度 是 非常 慢 的 
呢 ! 那 怎 办 ? 当然 


就 是 手动 的 修改 一 下 yum 的 配置 文件 就 好 鹃 ! 


竺 台湾 ， 乌 哥 熟 悉 的 CentOS 映射 站 台 主 要 有 昆山 科大 、 高速 网 络 中 
心 与 义 守 大 学 。 


在 学 术 网 络 之 外 ， 乌 哥 近 来 比较 偏好 高 速 网 络 中 心 ， 似 乎 更 新 的 速度 
比较 快 ， 而 且 连 接 


台湾 学 术 网 络 也 非常 快速 哩 ! 因此 ， 乌 哥 底 下 建议 台湾 的 朋友 使 用 高 
速 网 络 中 心 的 fp 


主机 资源 来 作为 yum 服务 器 来 源 喔 ! 不 过 ， 因 为 乌 哥 的 机 器 很 多 都 在 
昆山 科大 ， 所 以 


在 学 术 网 络 上 ， 使 用 的 反而 是 昆山 科大 的 FTP 嗓 。 目 前 高 速 网 络 中 心 
对 于 CentOS 所 


提供 的 相关 网 址 如 下 : 
LD http://ftp.twaren.net/Linux/CentOS/6/ 
如 采 你 连接 到 上 述 的 网 址 后 ， 就 会 发 现 里 面 有 一 扒 连 结 ， 那 些 连结 就 


是 这 个 yum 服 


务 器 所 提供 的 容器 了 ! 所 以 高 速 网 络 中 心 也 提供 了 addons, centosplus， 
extras, 


fasttrack, os, updates 等 容器 ， 最 好 认 的 容 絮 就 是 os (系统 默认 的 软件 ) 


updates (软件 升级 版 本 ) 哆 ! 由 于 乌 哥 在 我 的 测试 用 主机 是 利用 x86_64 
的 版 本 ， 


此 那个 os 再 点 进去 就 会 得 到 如 下 的 可 提供 安装 的 网 址 : 


LD http://ftp.twaren.net/Linux/CentOS/6/0s/x86 64/ 


为 什么 在 上 述 的 网 址 内 呢 ? 有 什么 特色 ! 最 重要 的 特色 就 是 那个 
repodata 4 的 


目录 ! 该 目录 就 是 分 析 RPM 软件 后 所 产生 的 软件 属性 相依 数据 放置 
处 ! 因此 ， 当 你 要 


找 容器 所 在 网 址 时 ， 最 重要 的 束 古 该 网 址 的 下 一 定 要 有 个 名 为 
repodata 的 目录 存在 ! 


那 就 是 容器 的 网 址 了 ! 其 他 的 容器 正确 网 址 ， 就 请 各 位 看 信 自 行 寻找 
一 下 喔 ! 现在 让 


我 们 修改 配置 文件 吧 


[root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo 

[basel 

name=CentOS-$releasever - Base 

net.qiang@Ohotmail.com 
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch 
&Arepo=os 
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/ 
gpgcheck=1 

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

如 上 所 示 ， 马 哥 仅 列 出 base 这 个 容 絮 的 原始 内 容 而 已 ， 其 他 的 容 紫 内 


容 请 目 行 查阅 哆 ! 
上 面 的 数据 需要 注意 的 是 : 
LD [basel]: 


代表 容器 的 名 字 ! 中 刮 号 一 定 要 存在 ， 里 面 的 名 称 则 可 以 随意 取 。 但 
是 不 能 有 两 


个 相同 的 容 需 名 称 ， 人 否则 yum 会 不 晓得 该 到 哪里 去 找 容器 相关 软件 列 
表 档 案 。 


L name: 
只 是 说 明 一 下 这 个 容器 的 意义 而 已 ， 重 要 性 不 高 ! 
[| mirrorlist=: 


列 出 这 个 容 亏 可 以 使 用 的 映射 站 合 ， 如 果 不 想 使 用 ， 可 以 批 广 到 这 
和 = 


下 我 们 是 直接 设 定 映 像 站 ， 因 此 这 行 待 会 儿 确实 是 需要 批注 掉 的 喔 ! 
L baseurl=: 


这 个 最 重要 ， 因 为 后 面授 的 就 是 容 絮 的 实际 网 址 ! mirrorlist 是 由 yum 
程序 


0 
> 到 | 了 


网 址 放 到 这 里 来 啦 ! 
[| enable=1: 


束 是 让 这 个 容 亏 被 启动。 如 采 不 想 司 动 可 以 使 用 enable=0 喔 ! 


LD gpgcheck=1: 


还 记得 RPM 的 数字 签名 吗 ? 这 就 是 指定 是 否 需 要 查阅 RPM 档案 内 的 
数字 签名 |! 


0 gpgkey=: 束 古 数字 签名 的 公 角 文件 所 在 位 置 ! 使 用 默认 值 即 可 


了 解 这 个 配置 文件 之 后 ， 接 下 来 让 我 们 修改 整个 档案 的 内 容 ， 让 我 们 
这 部 主机 可 以 


直接 使 用 高 速 网 络 中 心 的 资源 吧 ! 修改 的 方式 乌 哥 仅 列 出 base 这 个 容 
研 项 目 而 已 ， 


其 他 的 项 目 请 您 目 行 依照 上 述 的 作法 来 处 理 即 可 ! 
[root@www ~]# vim /etc/yum.repos.d/CentOS-Base.repo 
[basel] 


name=CentOS-$releasever - Base 


baseurl=http://ftp.twaren.net/Linux/CentOS/6/0s/x86_64/ <== 职 属 它 

最 重要 | 

gpgcheck=1 

net.giang(@hotmail.com 
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 

# 底下 其 他 的 容器 项 目 ， 请 目 行 到 高 速 网 络 中 心 去 查询 后 目 己 处 理 ! 
[root@www ~]# yum clean all <== 改 过 配置 文件 ， 最 好 清除 既 有 清单 


接 下 来 当然 就 是 给 他 测试 一 下 哆 ! 如 何 测 试 呢 ?再 次 使 用 yum 即 可 
呵 ! 


# 范例 : 列 出 目前 yum server 所 使 用 的 容器 有 哪些 ? 


[root@www ~]# yum repolist all 

repo id repo name status 

base CentOS-6 - Base enabled: 6,019 
c6-media CentOS-6 - Media disabled 
centosplus CentOS-6 - Plus disabled 
contrib CentOS-6 - Contrib disabled 

debug CentOS-6 - Debuginfo disabled 
extras CentOS-6 - Extras enabled: 0 
updates CentOS-6 - Updates enabled: 1,042 


repolist: 7,061 


# 在 status 上 写 enabled 才 是 有 启动 的 ! 由 于 /etc/yum.repos.d/ 
# 有 多 个 配置 文件 ， 所 以 你 会 发 现 还 有 其 他 的 容器 存在 。 
修改 容器 产生 的 问题 与 解决 之 道 

由 于 我 们 是 修改 系统 默认 的 配置 文件 ， 事 实 上 ， 我 们 应 该 要 在 


/etc/yum.repos.d/ 


确 下 新 建 一 个 档案 ， 该 扩展 名 必须 是 .repo 才 行 ! 但 因为 我 们 使 用 的 
征 指 定 特定 的 映 


味 站 侣 ， 而 不 是 其 他 软件 开发 生 提供 的 容器 ， 因此 才 修 改 系 统 上 默认 配 
置 文件 。 但 十 可 


能 由 于 使 用 的 容 右 版 本 有 新 旧 之 分 ， 你 得 要 知道 ，yum 会 先 下 载 容 器 
的 清单 到 本 机 的 


/Var/cache/yum 里 面 去 ! 那 我 们 修改 了 网 址 却 没 有 修改 容器 名 称 (中 得 
号 内 的 文字 )， 


可 能 束 会 造成 本 机 的 列表 与 yum 服务 器 的 列表 不 同步 ， 此 时 束 会 出 现 
无 法 更 新 的 问题 


了 了 ! 


那 怎么 办 啊 ? 很 位 单 ， 残 清除 挥 本 机 上 面 的 旧 数 据 即 可 ! 需要 手动 处 
理 吗 ? 不 需要 


的 ， 透 过 yum 的 clean 项 目 来 处 理 即 可 ! 


[root@www ~]# yum clean [packageslheaderslall] 
选项 与 参数 : 
packages: 将 已 下 载 的 软件 档案 删除 

headers : 将 下 载 的 软件 文件 头 删除 


1 : 将 所 有 容 句 数据 都 删除 | 
net.qiang(Ohotmail.com 


# 范例 : 删除 已 下 载 过 的 所 有 容 右 的 相关 数据 ( 含 软件 本 身 与 列表 ) 


[root@www ~]# yum clean all 

例题 : 

有 一 个 网 址 : 
http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ ， 里 面包 含 


本 Rg i 目 由 软件 。 请 依据 该 网 址 提供 的 
数据 ， 做 


成 系统 可 以 目 动 网 络 安装 的 yum 格式 。 


从  . 


呈 : 
由 于 http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ 


里 面 束 有 repodata/ 目录 ， 因 此 ， 这 个 网 址 可 以 直接 做 成 yum 的 容 絮 配 
置 文 


件 。 你 可 以 这 么 做 的 : 


[root@www ~]# vim /etc/yum.repos.d/drbl.repo 

[drbl] 

name=This is DRBL site 
baseurl=http://free.nchc.org.tw/drbl-core/i386/RPMS.drbl-stable/ 
enable=1 


gpgcheck=0 


[root@www ~]# yum search drbl 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 
============================== Matched: drbl 


clonezilla.i386 : Opensource Clone System (ocs), clonezilla 
drbl.i386 : DRBL (Diskless Remote Boot in Linux) package. 
drbl-chntpw.i386 : Offline NT password and registry editor 
.…( 底 下 省 略 ).…. 

[root@www ~]# yum repolist all 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 

repo id repo name status 

base CentOS-6 - Base enabled: 6,019 

c6-media CentOS-6 - Media disabled 

centosplus CentOS-6 - Plus disabled 

contrib CentOS-6 - Contrib disabled 

debug CentOS-6 - Debuginfo disabled 

drbl This is DRBL site enabled: 36 <== 狐 


的 在 此 | 


extras CentOS-6 - Extras enabled: 0 


net.qiang(Ohotmail.com 


0 

名 

updates CentOS-6 - Updates enabled: 1,042 

repolist: 7,097 

drbl 这 个 新 增 的 容 絮 里 面 ， 拥 有 36 个 软件 喔 1! 这 样 够 清楚 吗 ? 
7.3 限制 联机 塌 口 (port) 


为 什么 我 们 的 主机 会 响应 网 络 上 面 的 一 些 要 求 封包 呢 ? 例如 我 们 设 定 
了 一 部 WWW 


主机 后 ， 当 有 来 自 Intemet 的 WWW 要 求 时 ， 我 们 的 主机 就 会 子 以 回 


们 的 主机 有 局 用 了 WWW 的 监听 埋 口 啊 ! 所 以 ， 当 我 们 启用 了 一 个 
daemon 上 时， 就 可 能 


会 造成 主机 的 问 口 口 在 进行 监听 的 动作 ， 此 时 该 daemon 就 古 已 经 对 
网 络 上 面 提供 服务 


了 1! 万 一 这 个 daemon 程序 有 漏洞 ， 因 为 他 提供 了 Internet 的 服务 ， 所 
以 驶 容易 被 


Internet 上 面 的 cracker 所 攻击 了 ! 所 以 说 ， 仔 细 的 检查 目 己 系统 上 面 
的 端口 口 到 底 


开 了 多 少 个 ， 并 且 了 予以 严格 的 管理 ， 才 能 够 降低 被 攻击 的 可 能 性 啊 ! 


7.3.1 什么 是 port 


快 讲 到 烂 掉 了 ! 当 你 启动 一 个 网 络 服务 ， 这 个 服务 会 依据 TCP/P 的 相 
关 通 讯 协议 


局 动 一 个 塌 口 在 进行 监 昕 ， 那 就 是 TCP/UDP 封包 的 port (井口 ) 了 。 
我 们 从 第 二 章 


也 知道 网 络 联 机 是 双 同 的 ， 服 务 器 病 得 要 局 动 一 个 监听 的 塌 口 ， 客户 
端 得 要 随机 局 动 


一 个 塌 口 来 接收 啊 应 的 数据 才 行 。 那 么 服务 器 端的 服务 钙 否 需要 局 动 
在 固定 的 塌 口 ? 


客户 端的 起 口 是 否 又 是 国定 的 呢 ? 我 们 将 第 二 章 中 与 port 有 关 的 资料 
给 她 汇 整 一 下 


所 
口服 务 疑问 启动 的 监听 塌 口 所 对 应 的 服务 是 固定 的 : 


例如 WWW 服务 开启 在 port 80 ，FTP 服务 开启 在 port 21，email 传送 
开启 在 


port 25 等 等 ， 都 是 通讯 协议 上 面 的 规范 ! 
0 客户 端 局 动 程序 时 ， 随 机 启动 一 个 大 于 1024 以 上 的 塌 口 : 
客户 端 局 动 的 port 是 随机 产生 的 ， 主 要 是 开启 在 大 于 1024 以 上 的 埋 


加 


port 也 是 由 某 些 软件 所 产生 的 ， 例如 浏 哎 占 、Filezilla 这 个 FTP 客户 
闹 程 


序 等 等 。 
0 一 部 服务 器 可 以 同时 提供 多 种 服务 : 


所 谓 的 『 监 听 4 是 某 个 服务 程序 会 一 直 和 党 斑 在 内 存 当 中 ， 所 以 该 程序 
局 动 的 port 


忠 会 一 直 存 在 。 只 要 服务 器 软件 激活 的 塌 口 不 同 ， 那 束 不 会 造成 冲 


突 。 当 客户 


端 连 接 到 此 服务 套 时 ， 透 过 不 同 的 坦 口 ， 束 可 以 取得 不 同 的 服务 数据 
吻 。 所 以 ， 


一 部 主机 上 面 当 然 可 以 同时 启动 很 多 不 同 的 服务 啊 ! 
net.qiang@hotmail.com 
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0 共 65536 个 port: 


由 第 二 章 的 TCP/UDP 表 头 数据 中 ， 就 知道 port 占用 16 个 位 ， 因 此 一 
般 主 机 


会 有 65536 个 port， 而 这 些 port 又 分 成 两 个 部 分 ， 以 port 1024 作 区 
隅 : 


o 只 有 root 才能 局 动 的 保留 的 port: 
在 小 于 1024 的 坦 口 ， 都 是 需要 以 root 的 身份 才能 启动 的 ， 这 些 port 


主要 是 用 于 一 些 常见 的 通讯 服务 ， 在 Linux 系统 下 ， 和 常见 的 协议 与 
port 


的 对 应 是 记录 在 /etc/services 里 面 的 。 

0 大 于 1024 用 于 client 端的 port: 

在 大 于 1024 以 上 的 port 主要 是 作为 client 端的 软件 激活 的 port 。 
0 是 否 需 要 三 向 交 握 : 


建立 可 靠 的 联机 服务 需要 使 用 到 TCP 协议 ， 也 就 需要 所 谓 的 三 向 交 握 
了 ， 如 于 


是非 面 加 连接 的 服务 ， 例 如 DNS 与 视讯 系统 ， 那 只 要 使 用 UDP 协议 
外 可 。 


0 通讯 协议 可 以 启用 在 非 正规 的 port: 


我 们 知道 浏览 器 默认 会 连接 到 WWW 主机 的 port 80， 那 么 你 的 WWW 
征 否 可 以 局 


动 在 非 80 的 其 他 塌 口 ? 当然 可 以 啊 ! 你 可 以 透 过 WWW 软件 的 设 定 
功能 将 该 软 


port 局 动 在 非 正 规 的 去 口 ， 只 是 如 此 一 来 ， 您 的 客户 端 要 连 
受到 你 


的 主机 时 ， 就 得 要 在 浏览 器 的 地 方 额外 指定 你 所 启用 的 非 正 规 的 塌 口 
才 行 。 这 


个 局 动 在 非 正 规 的 端口 口 功 能 ， 党 肖 被 用 在 一 些 所 谓 的 地 下 网 站 啦 | 


oh, 


某 些 软件 默认 就 局 动 在 大 于 1024 以 上 的 端口 口 ， 如 MySQL 数据 库 软 
件 束 局 动 


在 3306。 
0D 所 谓 的 port 的 安全 性 : 


， 没有 所 谓 的 port 的 安全 性 ! 因为 『Port 的 启用 是 由 服务 软件 
所 造成 


的 ] ， 也 束 古 说 ， 真 正 影响 网 络 安全 的 并 不 是 port ， 而 是 启动 port 的 
那个 
软件 (程序 )! 或 许 你 偶而 会 听 到 : 『 没 有 修补 过 漏洞 的 bind 8.x 版 ， 


很 容 


被 黑客 所 入 侵 ， 请 尽快 升级 到 bind 9.x 以 后 版 本 3 ， 所 以 鹃 ， 对 安全 
真正 有 危 


害 的 是 『 某 些 不 安全 的 服务 上 而 不 是 『 开 了 哪些 port J 才 是 ! 因此 ， 
没有 必 


要 的 服务 殉 将 他 关闭 吧 ! 尤其 某 些 网 络 服务 还 会 局 动 一 些 port 哩 ! 羽 
hs: Wh 


些 已 启动 的 软件 也 需要 持续 的 保持 更 新 喔 ! 
7.3.2 坦 口 的 观察 : netstat, nmap 


好 了 ， 我 们 现在 知道 这 个 port 是 什么 鬼 东 西 了 ， 再 来 聘 是 要 来 了 解 一 
下 ， 我 们 的 


主机 到 底 是 开 了 多 少 的 port 呢 ? 由 于 port 的 启动 与 服务 有 关 ， 那 么 
『 服 务 4 跟 


『 port 4 对 应 的 档案 是 哪 一 个 ? 再 提醒 一 次 哟 ! 是 『 /etc/services J 
啦 ! 而 常用 


来 观察 port 的 则 有 底下 两 个 程序 : 
D netstat: 在 本 机 上 面 以 自己 的 程序 监测 自己 的 port; 
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0 nmap: 透 过 网 络 的 侦 测 软件 辅助 ， 可 侦 测 非 本 机 上 的 其 他 网 络 主 
机 ， 但 有 违 


法 之 广 。 


见 他 的 大 头 王 ! 怎么 使 用 nmap 会 违法 ? 由 于 nmap 的 功能 太 强 大 了 ， 
所 以 很 多 


cracker 会 直接 以 他 来 侦 测 别人 的 主机 ， 这 个 时 候 残 可 能 造成 违法 啦 ! 
只 要 你 使 用 nmap 


的 时 候 不 要 去 侦 测 别人 的 计算 机 主机 ， 那 么 就 不 会 有 问题 啦 ! 的 下 我 
们 分 别 来 说 一 说 这 


两 个 宝贝 吧 ! 
[ netstat 


在 做 为 服务 器 的 Linux 系统 中 ， 开 局 的 网 络 服务 越 少 越 好 ! 因为 较 少 
的 服务 可 以 


较 容 易 除 错 (debug) 与 了 解 安 全 漏洞 ， 并 可 避免 不 必要 的 入 侵 管 道 ! 
所 以 ， 这 个 时 候 


请 了 解 一 下 您 的 系统 当中 有 没有 哪些 服务 被 开局 了 呢 ? 要 了 解 目 己 的 
系统 当中 的 服务 


项 目 ， 最 简便 的 方法 就 是 使 用 netstat 了 ! 这 个 东西 不 但 简单 ， 而 且 功 
能 也 是 很 不 错 


的 。 这 个 指令 的 使 用 方法 在 第 
/Rl 人 


提供 如 何 使 用 这 个 工具 的 方法 哆 ! 
o 列 出 在 监听 的 网 络 服务 : 


[root@www ~]# netstat -tunl 

ctive Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 


(| 磺 下 省 临 ),, 


上 面 说 明了 我 的 主机 至 少 有 启动 port 111 22, 25 等 ， 而 且 观 察 各 联机 
楼 回 : 

可 发 现 25 为 TCP 去 口 ， 但 只 针对 lo 内 部 循环 测试 网 络 提供 服务 ， 
特 网 旦 

连 不 到 该 坊 口 的 。 至 于 port 22 则 有 提供 因特网 的 联机 功能 。 

0 列 出 已 联机 的 网 络 联机 状态 : 

[root@www ~]# netstat -tun 

Active Internet connections (W/O servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 

tcp 0 52 192.168.1.100:22 192.168.1.101:2162 

ESTABLISHED 
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从 上 面 的 数据 来 看 ， 我 的 本 地 端 服 务 器 (Local Address, 192.168.1.100) 
目前 


J 0 那 就 是 与 192.168.1.101 那 部 主机 连接 的 联 
儿 ， 并 且 


联机 方 线 是 由 对 方 连接 到 我 主机 的 port 22 来 取 用 我 服务 右 的 服务 呐 ! 
o 删除 已 建立 或 在 监听 当中 的 联机 : 


如 果 想 要 将 已 经 建立 ， 或 者 是 正在 监听 当中 的 网 络 服务 关闭 的 话 ， 最 
简单 的 方法 


当然 融 是 找 出 该 联机 的 PITD ， 然后 将 他 kil 掉 即 可 啊 ! 例如 下 面 的 范 
例 : 


[root@www ~]#netstat -tunp 

Active Internet connections (W/O servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/P name 

tcp 0 52 192.168.1.100:22 192.168.1.101:2162 ESTABLISHED 
1342/0 


如 上 面 的 范例 ， 我 们 可 以 找 出 来 该 联机 是 由 sshd 这 个 程序 来 局 用 的 ， 
并 且 他 的 


PID 是 1342， 希望 你 不 要 心急 的 用 killall 这 个 指令 ， 否 则 容易 删 错 人 
( 因 


为 你 的 主机 里 面 可 能 会 有 多 个 sshd 存在 )， 应 该 要 使 用 kill 这 个 指令 
才 对 喔 ! 


[root@www ~]# kill -9 1342 


UD nmap 


如 果 你 要 侦 测 的 设备 并 没有 可 让 你 登入 的 操作 系统 时 ， 那 该 怎么 办 ? 
举例 来 说 ， 你 


想 要 了 解 一 下 公司 的 网 络 打印 机 是 否 有 开放 某 些 协议 时 ， 那 该 如 何 处 
理 啊 ”现在 你 知 


道 netstat 可 以 用 来 查阅 本 机 上 面 的 许多 监听 中 的 通讯 协议 ， 那 例如 网 
络 打印 机 这 样 


的 非 本 机 的 设备 ， 要 如 何 查 询 啊 ? 呵呵 ! 用 nmap 就 对 了 | 


nmap ( 注 1) 的 软件 说 明之 名 称 为 :TNetwork exploration tool and 
security / 


port scanner4 ,顾名思义 ， 这 个 东西 是 被 系统 管理 员 用 来 管理 系统 安 
全 性 查核 的 工 


具 ! 他 的 具体 描述 当中 也 提 到 了 ，nmap 可 以 经 由 程序 内 部 自行 定义 
的 几 个 port 对 应 


的 指纹 数据 ， 来 查 出 该 port 的 服务 为 何 ， 所 以 我 们 也 可 以 藉 此 了 解 我 
们 主机 的 port 


到 撒 是 干 嘛 用 的 ! 在 CentOS 里 头 是 有 提供 nmap 的 ， 如 果 你 没有 安 
装 ， 那 么 殉 使 用 


yum 去 安装 他 吧 | 

[root@www ~]# nmap [ 扫 瞄 类 型 ] [ 扫 瞄 参数 ] [hosts 地 址 与 范围 ] 
选项 与 参数 : 

[ 扫 瞳 类 型 ]: 主要 的 扫 瞄 类 型 有 底下 几 种 : 

-ST: 扫 瞄 TCP 封包 已 建立 的 联机 connect() ! 


-SS: 扫 瞄 TCP 封包 带 有 SYN 卷 标 的 数据 
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-SP: 以 ping 的 方式 进行 扫 瞄 

-SU: 以 UDP 的 封包 格式 进行 扫 瞄 

-SO: 以 IP 的 协议 (protocol) 进行 主机 的 扫 瞄 
[ 扫 瞄 参数 ]: 主要 的 扫 瞄 参数 有 儿 种 : 


-PT， 使 用 TCP 里 头 的 ping 的 方式 来 进行 扫 瞄 ， 可 以 获知 目前 有 几 部 
计 


算 机 存活 ( 较 常用 ) 


-PI: 使 用 实际 的 ping ( 带 有 ICMP 封包 的 ) 来 进行 扫 瞳 

-p : 这 个 是 port range ， 例 如 1024-, 80-1023, 30000-60000 等 等 的 
使 用 方式 

[Hosts 地 址 与 范围 ]: 这 个 有 趣 多 了 ， 有 几 种 类 似 的 类 型 


192.168.1.100 : 直接 写 入 HOST IP 而 已 ， 仅 检查 一 部 ; 


192.168.1.0/24 : 为 C Class 的 型 态 ， 

192.168.*.* : 嘿嘿 ! 则 变 为 B Class 的 型 态 了 ! 扫 瞄 的 范围 变 广 了 ! 
192.168.1.0-50,60-100,103,200 : 

这 种 是 变形 的 主机 范围 啦 ! 

很 好 用 吧 ! 

# 犯 例 一 : 使 用 预 设 参数 扫 瞄 本 机 所 局 用 的 port (只 会 扫 瞄 TCP) 
[root@www ~]# yum install nmap 

[root@www ~]# nmap localhost 

PORT STATE SERVICE 

22/tcp open ssh 

25/tcp open smtp 

111/tcp open rpcbind 

# 在 预 设 的 情况 下 ，nmap 仪 会 扫 瞄 TCP 的 协议 喔 ! 


nmap 的 用 法 很 简单 呐 ! 束 直 接 在 指令 后 面 接 上 IP 或 者 是 主机 名 即 
可 。 不 过 ， 在 预 设 


的 情况 下 nmap 仅 会 帮 你 分 析 TCP 这 个 通讯 协议 而 已 ， 像 上 面 这 个 例 
子 的 输出 结 末 。 


但 优点 是 顺道 也 将 开局 该 坦 口 的 服务 也 列 出 来 了 ， 真 是 好 ! 和 人 和 人! 那 
如 采 想 要 同时 分 


析 TCP/UDP 这 两 个 常见 的 通讯 协议 呢 ? 可 以 这 样 做 : 
# 范例 二 : 同时 扫 瞄 本 机 的 TCP/UDP 埋 口 


[root@www ~]# nmap -sTU localhost 

PORT STATE SERVICE 

22/tcp open ssh 

25/tcp open Smtp 

111/tcp open rpcbind 

111/udp open rpcbind <== 会 多 出 UDP 的 通讯 协议 塌 口 ! 


嘿嘿 ! 与 前 面 的 范例 比较 一 下 ， 你 会 发 现 这 次 多 了 几 个 UDP 的 埋 口 ， 
这 样 分 析 好 多 了 ! 


然后 ， 如 有 果 你 想 要 了 解 一 下 到 说 有 几 部 主机 活 在 你 的 网 络 当 中 时 ， 则 
可 以 这 样 做 : 


# 范例 三 : 透 过 ICMP 封包 的 检测 ， 分 析 区 网 内 有 几 部 主机 是 局 动 的 
[root@www ~]#nmap -SP 192.168.1.0/24 
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0 


Starting Nmap 5.21 (http:/nmap.org ) at 2011-07-20 17:05 CST 


Nmap scan report for www.centos.vbird (192.168.1.100) 

Host is up. 

Nmap scan report for 192.168.1.101 <== 这 三 行 讲 的 是 192.168.101 的 范 
例 ! 

Host is up (0.00024s latency). 

MAC Address: 00:1B:FC:58:9A:BB (Asustek Computer) 

Nmap scan report for 192.168.1.254 

Host is up (0.00026s latency). 

MAC Address: 00:0C:6E:85:D5:69 (Asustek Computer) 

Nmap done: 256 IP addresses (3 hosts up) scanned in 3.81 seconds 


看 到 否 ? 乌 哥 的 环境 当中 有 三 部 主机 活着 呐 (Hostis up)! 并 且 该 了 PP 所 
对 应 的 MAC 


会 彼 记 杂 下 来 ， 很 不 错 吧 ! 如 果 你 还 想 要 将 各 个 主机 的 局 动 的 port 
作 一 番 侦 测 的 


话 ， 那 束 得 要 使 用 : 
[root@www ~]# nmap 192.168.1.0/24 


之 后 你 束 会 看 到 一 堆 port number 被 输出 到 屏 侨 上 哆 ~~ 如 有 果 想 要 随时 记 
录 整 个 网 段 的 


主机 是 否 不 小 心 开 放 了 菜 些 服 务 ， 嘿 嘿 ! 利用 nmap 配合 数据 流 重 导 
向 (>, >> 等 ) 来 


输出 成 为 档案 ， 那 随时 可 以 掌握 住 您 局 域 网络 内 每 部 主机 的 服务 启动 
状况 啊 ! 和信 


请 特别 留意 ， 这 个 nmap 的 功能 相当 的 强大 ， 也 是 因为 如 此 ， 所 以 很 
多 刚 在 练习 的 


墨客 会 使 用 这 个 软件 来 侦 测 别人 的 计算 机 。 这 个 时 候 请 您 特别 留意 ， 
目前 很 多 的 人 已 


经 都 有 【特别 的 方式 J 来 进行 登录 的 工作 ! 例如 以 TCP_Wrappers 


(/etc/hosts.allow, 


/etc/hosts.deny) 的 功能 来 记录 曾经 侦 测 过 该 port 的 IP! 这 个 软件 用 来 
『 侦 测 目 


己 机 器 的 安全 性 ] 是 很 不 错 的 一 个 工具 ， 但 是 如 果 用 来 侦 测 别人 的 主 
机 ， 可 是 会 『 吃 


上 官司 4 的! 特别 留意 ! ! 
7.3.3 塌 口 与 服务 的 局 动 /关闭 及 开机 时 状态 设 害 


从 第 二 章 的 数据 我 们 就 知道 ， 其 实 port 是 由 执行 某 些 软件 之 后 被 软件 
激活 的 。 所 


以 要 关闭 某 些 port 时 ， 那 束 直 接 将 某 个 程序 给 他 关闭 就 是 了 ! 关闭 的 
方法 你 当然 可 以 


因为 kill 这 个 指令 通常 具 


有 强制 关闭 
某 些 程序 的 功能 ， 但 我 们 想 要 正 浓 的 关闭 该 程序 啊 ! 所 以 ， 束 利用 系 


统 给 我 们 的 script 


来 关闭 束 好 了 啊 。 在 此 同时 ， 我 们 整 得 再 来 稍微 复习 一 下 ， 一 般 传统 
的 服务 有 哪儿 种 


类 型 ? 
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[0 stand alone 与 super daemon 


股 正 党 的 Linux 系统 环境 下 ， 服 务 的 


启动 与 管理 
主要 有 两 种 方式 : 
[| Stand alone 


顾名思义 ，stand alone 号 古 直 接 执行 该 服务 的 执行 档 ， 让 该 执行 文件 


直接 加 载 


0 中 运作 ， 用 这 种 方式 来 启动 可 以 让 该 服务 具有 较 快速 啊 应 的 
局 全 


般 来 说 ， 这 种 服务 的 局 动 script 都 会 放置 到 /etc/init.d/ 这 个 目录 底下 
所 


以 你 通常 可 以 使 用 : 『 /etc/init.d/sshd restart 4 之 类 的 方式 来 重 狐 启动 


这 
种 服务 ; 
[| Super daemon 


用 一 个 超级 服务 作为 总 管 ， 来 统一 管理 某 些 特殊 的 服务 。 在 CentOS 
6.x 里 面 使 


用 的 则 是 xinetd 这 个 super daemon 啊 ! 这 种 方式 启动 的 网 络 服务 虽然 
在 啊 应 


上 速度 会 比较 慢 ， 不 过 ， 可 以 透 过 super daemon 额外 提供 一 些 探 管 ， 
例如 控 

制 何 时 启动 、 何 时 可 以 进行 联机 、 那 个 IP 可 以 连 进来 、 是 否 允 许 同 
时 联机 等 


和 个别 服务 的 配置 文件 放置 在 /etc/xinetd.d/ 当中 ， 但 设 定 完毕 


好 ， 那 么 如 果 我 想 要 将 我 系统 上 面 的 port 111 关 掉 的 话 ， 那 应 该 如 何 
关闭 呢 ? 最 简 


单 的 作法 区 是 移 找 出 那个 port 111 的 局 动 程序 喔 ! 


[root@www ~|#netstat -tnlp | grep 111 
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 
990/rpcbind 

tcp 0 0:::111 :::* LISTEN 

990/rpcbind 

# 原来 用 的 是 rpcbind 这 个 服务 程序 ! 
[root@www ~]# which rpcbind 
/sbin/rpcbind 

# 找到 档案 后 ， 再 以 rpm 处 理 处 理 
[root@www ~]# rpm -gf /sbin/rpcbind 
rpcbind-0.2.0-8.el6.x86_64 

# 找到 了 1! 束 是 这 个 软件 ! 所 以 将 他 关闭 的 方法 可 能 束 是 : 


[root@www ~]# rpm -qc rpcbind | grep init 


/etC/rc.d/init.d/rpcbind 
[root@www ~ |]# /etc/init.d/rpcbind stop 
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透 过 上 面 的 这 个 分 析 的 流程 ， 你 可 以 利用 系统 提供 的 很 多 方便 的 工具 
来 达成 时 个 服务 的 


关闭 ! 为 蛤 这 么 麻烦 ? 不 是 利用 kill -9 990 就 可 以 删 掉 该 服务 了 吗 ? 


是 没 错 啦 | 


不 过 ， 你 知道 该 服务 是 做 啥 用 的 吗 ? 你 知道 将 他 关闭 之 后 ， 你 的 系统 
会 出 什么 问题 吗 ? 


如 采 不 知道 的 话 ， 那 么 利用 上 面 的 流程 不 就 可 以 找 出 该 服务 软件 ， 再 
利用 rpm 查询 功 


能 ， 不 就 能 够 知道 该 服务 的 作用 了 ? 所 以 说 ， 这 个 方式 还 是 对 您 会 有 
帮助 的 啦 ! 底下 


请 您 试 着 将 您 CentOS 或 者 是 其 他 版 本 的 Linux 的 Telnet 打开 试看 
看 o 


例题 : 
我 们 知道 系统 的 Telnet 服务 通常 是 以 super daemon 来 控 管 的 ， 请 您 局 
动 您 系统 的 telnet 试看 看 。 
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[于 


1. 要 启动 telnet 首先 必须 要 已 经 安 狼 了 telnet 的 服务 器 才 行 ， 所 


以 请 移 以 rpm 查询 看 看 是 否 有 安装 telnet-server 呢 ? [Trpm -qa | 
grep telnet-serverJ 如 果 没 有 安装 的 话 ， 请 利用 原版 光 强 来 安装 ， 或 


者 使 用 『yum install telnet-serverJ 安装 一 下 移 ; 


2. 由 于 是 super daemon 探 管 ， 所 以 请 编辑 /etc/xinetd.d/telnet 

这 个 档案 ， 将 其 中 的 『disable = yesJ 改 成 『disable = noJ 之 后 以 
『/etc/init.d/xinetd restartd 重新 局 动 super daemon 吧 | 

3. 利用 netstat -tnlp 察看 是 否 有 启动 port 23 呢 ? 

0 预 设 启动 的 服务 


刚刚 上 头 的 作法 仅 是 了 立即 将 该 服务 局 动 或 关闭 4 喔 ! 并 不 会 影响 到 
下 次 开机 时 ， 


这 个 服务 是 否 预 设 启 动 的 情况 。 如 果 你 想 要 在 开机 的 时 候 就 局 动 或 不 
局 动 菏 项 服务 时 ， 


统 当 中 我 们 都 是 透 过 run level 来 设 定 某 些 执行 等 级 需要 局 动 的 服务 ， 
以 Red Hat 系 


统 来 说 ， 这 些 run level 启动 的 数据 都 是 放置 在 /etc/rc.d/rc[0-6].d/ 里 面 
的 ， 那 


如 何 管理 该 目录 下 的 script 呢 ? 手动 处 理 吗 ? 会 疯 掉 的 呐 ! 所 以 你 必 


chkconfig 或 Red Hat 系统 的 ntsysy 这 几 个 指令 才 行 ! 


Tips: 


这 几 个 指令 不 熟 吗 ? 这 个 时 候 乌 哥 不 得 不 说 了 : 『 有 man 卉 用 直 需 
用 ， 莫 竺 无 man 空 自 猿 」 赶紧 给 他 man 下 去 啦 ! 

例题 : 

(1) 如 何 查 阅 rpcbind 这 个 程序 一 开机 就 执行 ? (2) 如 果 开 机 就 执行 ， 如 
net.qiang(Ohotmail.com 

何 将 他 改 为 开机 时 不 要 启动 ? (3) 如 何 立 即 关闭 这 个 rpcbind 服务 ? 
答 ; 

1. 可 以 透 过 『 chkconfig --list | grep rpcbind 4 与 『 runlevel J 
确认 一 下 你 的 环境 与 rpcbind 是 否 局 动 ? 

2. 如 果 有 启动 ， 可 透 过 『 chkconfig --level 35 rpcbind of 4 来 

设 定 开机 时 不 要 启动 ; 

3. 可 以 透 过 『 /etc/init.d/rpcbind stop 4 来 立即 关闭 他 ! 


聪明 的 你 一 定 会 问 说 ，『 乌 哥 ， 你 的 意思 十 只 要 将 系统 所 有 的 服务 都 
关闭 ， 那 系统 就 会 


安全 哆 ? 」 当然 … 不 是 ! 因为 『 很 多 的 系统 服务 是 必须 要 存在 的 ， 否 
则 系统 将 会 


问题 」 举例 来 说 ， 那 个 保持 系统 可 以 具有 工作 排 程 的 crond 服务 就 一 
定 要 存在 ， 而 那 


个 记录 系统 状况 的 rsyslogd 也 当然 要 存在 ~ 否则 怎 知道 系统 出 了 哈 问 
题 ? 所 以 嘿 ， 除 


非 你 知道 每 个 服务 的 目的 是 哈 ， 否 则 不 要 随便 关闭 该 服务 。 故 下 乌 哥 
列 出 几 个 常见 的 


必须 要 存在 的 系统 服务 给 大 家 参考 参考 先 ! 这 些 服 务 请 不 要 关闭 啊 ! 
服务 名 称 
服务 内 容 
新 版 的 电源 管理 模块 ， 通 党 建议 开局， 不 过 ， 某 些 笔记 本 电脑 可 能 


acpid 
不 支持 此 项 服务 ， 那 束 得 关闭 
atd 


在 管理 单一 预约 命令 执行 的 服务 ， 应 该 要 启动 的 
crond 


在 管理 工作 排 程 的 重要 服务 ， 请 务必 要 启动 啊 ! 


haldaemon 
作 系 统 硬件 变更 侦 测 的 服务 ， 与 USB 设备 天 系 很 大 
iptables 

Linux 内 建 的 防火 墙 软 件 ， 这 个 也 可 以 局 动 啦 ! 
network 

这 个 重要 了 吧 ? 要 网 络 就 要 有 他 啊 ! 

postfix 

系统 内 部 邮件 传递 服务 ， 不 要 随便 关闭 他 ! 

rsyslog 

系统 的 登录 文件 记录 ， 很 重要 的 ， 务 必 局 动 啊 ! 


这 是 系统 默认 会 局 动 的 ， 可 以 让 你 在 远程 以 文字 型 态 的 终端 机 登入 
sshd 

喔 ! 

Xinetd 

束 是 那个 super daemon 嘛 ! 所 以 也 要 启动 啦 ! 


上 面 列 出 的 是 主机 需要 的 重点 服务 ， 请 您 不 要 关闭 他 ! 除非 你 知道 作 
了 之 后 会 有 什么 后 


果 。 举 例 来 说 ， 你 如 果 不 需 要 管理 电源 ， 那么 将 acpid 关闭 也 没有 关 
系 啊 ! 如 果 你 不 


需要 提供 远程 联机 功能 ， 那 么 sshd 也 可 以 关闭 啊 ! 那 其 他 你 不 知道 的 
服务 怎 办 ? 没 


关系 ， 只 要 不 是 网 络 服务 ， 你 都 可 以 保留 他 ! 如 果 是 网 络 服务 昵 ? 
那 .. 鸟 哥 建议 你 不 


知道 的 服务 就 先天 闭 他 ! 以 后 我 们 谈 到 每 个 相关 的 服务 时 ， 再 一 个 一 
个 打开 即 可 。 底 


下 我 们 或 来 做 作 看 关闭 网 络 服务 这 个 部 分 ! 
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7.3.4 安全 性 考虑 -天 闭 网 络 服 务 端口 口 

我 们 的 Linux distribution 很 好 心 的 帮 使 用 者 想到 很 多 了 ， 所 以 在 一 安 


装 完毕 之 
后 ， 系统 会 开启 一 堆 有 的 没有 的 网 络 服务 ， 例 如 那个 rpcbind 之 类 的 
吃 吃 ， 这 些 东 西 


你 或 许 知道 或 许 不 知道 ， 不 过 他 就 是 有 开局 一 但 我 们 的 主机 明明 区 ® 是 
用 来 做 为 服务 天 


的 ， 所 以 这 些 本 来 预计 要 给 client 使 用 的 服务 其 实 有 点 『 多 此 一 举 4 
的 感觉 ~~ 所 以 


啦 ， 请 你 将 他 关闭 吧 ! 放下 我 们 举 个 简单 的 例 于 来 处 理 ， 将 你 的 网 络 
服务 关闭 束 好 ， 其 


他 在 系统 内 部 的 服务 ， 束 暂时 保留 吧 ! 
例题 : 


人 
(在 


/etc/init.d 内 的 档 名 之 意 )。 


要 找 出 服务 ， 就 利用 netstat -tunlp 即 可 找到 ! 以 乌 哥 从 第 一 章 安装 的 
示范 机 为 例 ， 乌 哥 目前 启动 的 网 络 服务 有 底下 这 些 : 

[root@www ~]# netstat -tlunp 

Active Internet connections (only servers) 

Proto Local Address State PID/Program name 

tcp 0.0.0.0:22 LISTEN 1176/sshd 

tcp 127.0.0.1:25 LISTEN 1252/master 

tcp 0.0.0.0:37753 LISTEN 1008/rpc.statd 


tcp :::22 LISTEN 1176/sshd 


tcp :::23 LISTEN 1851/xinetd 

tcp ::1:25 LISTEN 1252/master 

tcp :::38149 LISTEN 1008/rpc.statd 

tcp 0.0.0.0:111 LISTEN 1873/rpcbind 

tcp 0 :::111 LISTEN 1873/rpcbind 

udp 0 0.0.0.0:111 1873/rpcbind 

udp 0 0.0.0.0:776 1873/rpcbind 

udp 0 :::111 1873/rpcbind 

udp 0 :::776 1873/rpcbind 

udp 0.0.0.0:760 1008/rpc.statd 

udp 0.0.0.0:52525 1008/rpc.statd 

udp :::52343 1008/rpc.statd 

# 上 述 的 输出 乌 哥 有 稍微 简化 一 些 喔 ， 所 以 有 些 字 段 不 见 了 。 
# 这 个 重点 只 是 要 展现 出 最 后 一 个 字段 而 已 啦 ! 

看 起 来 总 共有 sshd, master, rpc.statd, Xinetd, rpcbind 等 文 几 个 服务 ， 


对 照 前 一 小 节 的 数据 内 容 来 看 ， master (port 25), sshd 不 能 关 挥 ， 那 么 
其 


~、 


他 的 束 予 以 天 财 啊 ! 透 过 前 两 个 小 市 的 介绍 ， 使 用 which 与 rpm 搜寻 


吧 ! 举 


例 来 说 ， rpc.statd 的 启动 脚本 在 : 


Trpm -qc $(rpm -qf $(which rpc.statd) ) 


| grep initJ 这 样 找 ， 结 果 是 在 『/etc/rc.d/init.d/nfslockJ4 这 里 ! 因此 
最 终 的 结果 如 下 : 
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rpc.statd /etc/rc.d/init.d/nfs 

/etc/rc.d/init.d/nfslock 

/etc/rc.d/init.d/rpcgssd 

/etc/rc.d/init.d/rpcidmapd 

/etc/rc.d/init.d/rpcsvcgssd 

Xinetd /etC/rc.d/init.d/xinetd 

rpcbind /etc/rc.d/init.d/rpcbind 

接 下 来 就 是 将 该 服务 关闭 ， 并 且 设 定 为 开机 不 局 动 吧 ! 
[rootOwww ~]# vim bin/closedaemon.sh 

for daemon in nfs nfslock rpcgssd rpcidmapd rpcsvcgssd xinetd 
rpcbind 

do 

chkconfig $daemon off 

/etc/init.d/$daemon stop 


done 


[root@www ~]# sh bin/closedaemon.sh 


做 完 上 面 的 例子 之 后 ， 你 再 次 下 达 netstat -tlunp 之 后 ， 会 得 到 仅 剩 
port 25, 22 而 


已 ! 如 此 一 来 ， 绝 大 部 分 服务 器 用 不 到 的 服务 下 被 你 关闭 ， 而 且 即 使 
重新 局 动 也 不 会 


被 启动 的 啦 ! 和信 
7.4 SELinux 管理 原则 


SELinux 使 用 所 请 的 委任 式 访问 控制 (Mandatory Access Control, MAC) 
， 他 可 


以 针对 特定 的 程序 与 特定 的 档案 资源 来 进行 权限 的 控 管 ! 也 束 古 说 ， 
即使 你 是 root ， 


那么 在 使 用 不 同 的 程序 时 ， 你 所 能 取得 的 权限 并 不 一 定 是 root ， 而 得 
要 看 当时 该 程序 


的 设 定 而 定 。 如 此 一 来 ， 我 们 针对 控制 的 【主体 J」 变 成 了 【程序 4 而 
不 定 『 使 用 者 4 


喔 ! 因此 ， 这 个 权限 的 管理 模式 束 特 别 适合 网 络 服务 的 『 程 序 1 了 ! 
因为 ， 即 使 你 的 


程序 使 用 root 的 号 份 去 局 动 ， 如 有 果 这 个 程序 被 攻击 而 被 取得 操作 权 ， 
那 该 程序 能 作 的 


事情 还 是 有 限 的 ， 因为 被 SELinux 限制 住 了 能 进行 的 工作 了 嘛 ! 


WWW 服务 闫 软件 的 达成 程序 为 httpd 这 文 程 序 ， 而 默认 
情况 下 ， 


httpd 仅 能 在 /var/www/ 这 个 目 孙 底下 存 取 档 案 ， 如 果 httpd 这 个 程序 
想 要 到 其 他 目 


录 去 存 取 数据 时 ， 除 了 规则 设 定 要 开放 外 ， 目 标 目 录 也 得 要 设 定 成 
httpd 可 读 取 的 模 


式 (type) 才 行 喔 ! 限制 非常 多 ! 所 以 ， 即 使 不 小 心 httpd 被 cracker 取 
得 了 控制 


权 ， 他 也 无 权 浏览 /etc/shadow 等 重要 的 配置 文件 喔 ! 
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7.4.1 SELinux 的 运作 模式 


再 次 的 重复 说 明 一 下 ，SELinux 是 透 过 MAC 的 方式 来 欣 管 程序 ， 他 
控制 的 主体 是 


程序 ， 而 目标 则 是 该 程序 能 否 读 取 的 『 档 案 资 源 4 ! 所 以 先 来 说 明 一 
下 这 些 号 吃 的 相 


天 性 啦 ! 
0 主体 (Subjecb: 


SELinux 主要 想 要 管理 的 就 是 程序 ， 因 此 你 可 以 将 『 主 体 」 跟 本 章 谈 
到 的 process 


划 上 等 号 ; 
D 目标 (Objectb): 


主体 程序 能 否 存 取 的 『 了 目标 资源 4 一 般 束 古文 件 系 统 。 因 此 这 个 目标 
项 目 可 以 等 


文件 系统 划 上 等 号 ; 
吕 政策 (Policy): 


由 于 程序 与 档案 数量 庞大 ， 因 此 SELinux 会 依据 某 些 服务 来 制订 基本 
的 存 取 安 


和 
放 某 些 资 


0 0 
小 


来 说 ， 使 用 预 设 的 target 政策 即 可 。 

otargeted: 针对 网 络 服务 限制 较 多 ， 针 对 本 机 限制 较 少 ， 是 预 设 的 政 
策 ; 

o mls: 完整 的 SELinux 限制 ， 限 制 方面 较为 严格 。 

0 安全 性 本 文 (security context): 

我 们 刚刚 谈 到 了 主体 、 目 标 与 政党 面 ， 但 是 主体 能 不 能 存 取 目 标 除了 


要 符合 政 


指定 之 外 ， 主 体 与 目标 的 安全 性 本 文 必 须 一 致 才 能 够 顺利 存 取 。 这 个 
安全 性 本 
X (security context) 有 点 类 似 文件 系统 的 rwx 啦 ! 安全 性 本 文 的 内 容 


i 


定 征 非常 重要 的 ! 如 果 设 定 错 座 ， 你 的 某 些 服务 (主体 程序 ) 束 无 法 存 
取 文 件 系 


统 (目标 资源 )， 当 然 整 会 一 直 出 现 『 权 限 不 符 J 的 错误 讯 电 了 | 


net.giang(@hotmail.com 


目标 (Object) 
资源 存 取 


政策 (Poliy) 
Rulel 
Rule2 


7.4-1、SELinux 运作 的 各 组 件 之 相关 性 (本 图 参考 小 州 老师 的 上 课 讲 
义 ) 


上 疼 的 重点 在 『 主 体 4 如 何 取得 了 目标 4 的 资源 访问 权限 ! 由 上 图 我 
们 可 以 发 现 ， 


(了 有) 主体 程序 必须 要 通过 SELinux 政策 内 的 规则 放行 后 ， 就 可 以 与 目标 
资源 进行 安全 性 


本 文 的 比 对 ， (2) 阁 比 对 失败 则 无 法 存 取 目标 ， 奎 比 对 成 功 则 可 以 开始 
存 取 目 标 。 问 题 


是， 最 终 能 否 存 取 目 标 还 是 与 文件 系统 的 rwx 权限 设 定 有 关 喔 ! 如 此 
一 来 ;加 入 本 


SELinux 之 后 ， 出 现 权 限 不 符 的 情况 时 ， 你 就 得 要 一 步 一 步 的 分 析 可 
能 的 问题 了 ! 


0 安全 性 本 文 (Security Context) 


CentOS 6.x 的 target 政策 已 经 帮 有 我 们 制订 好 非常 多 的 规则 了 ， 因 此 你 
只 要 知道 


如 何 开局 /关闭 某 项 规则 的 放行 与 否 即 可 。 那个 安全 性 本 文 比较 麻烦 ! 
因为 你 可 能 需要 


目 行 配置 文件 案 的 安全 性 本 文 呢 ! 为 何 需要 目 行 设 定 啊 ” 举例 来 说 ， 
你 不 也 瘦 第 进行 


档案 的 rwx 的 重新 设 定 吗 ? 这 个 安全 性 本 文 你 就 将 他 想 成 SELinux 内 
必 备 的 rwx 就 


是 了 ! 这 样 比较 好 理解 啦 。 


安全 性 本 文 存 在 于 主体 程序 中 与 目标 档案 唤 源 中 。 程 序 在 内 存 内 ， 所 
以 安全 性 本 文 


可 以 存 入 是 没 问题 。 那 档案 的 安全 性 本 文 是 记录 在 哪里 呢 ? 事实 上 ， 
安全 性 本 文 是 放 


置 到 档案 的 inode 内 的 ， 因 此 主体 程序 想 要 读 取 目 标 档 洒 资源 时 ， 同 
样 需 要 读 取 


inode ， 这 inode 内 就 可 以 比 对 安全 性 本 文 以 及 rwx 等 权限 值 是 否 正 
确 ， 而 给 予 适 


当 的 读 取 权限 依据 。 
那么 安全 性 本 文 到 展 是 什么 样 的 存在 呢 ? 我 们 先 来 看 看 /root 底下 的 档 


案 的 安全 


性 本 文 好 了 。 观察 安全 性 本 文 可 使 用 『 ls -Z 4 去 观察 如 下 : (注意 : 
你 必须 已 经 局 


动 了 SELinux 才 行 ! 奎 尚未 局 动 ， 这 部 份 请 稍微 看 过 一 裔 即 可 。 克 下 
会 介绍 如 何 局 动 


SELinux 喔 ! ) 


[root@www ~]#1s -Z 
-TW------- .Toot root System_u:object_radmin home t:s0 


anaconda-ks.cfg 
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drwxr-xr-x. root root unconfined_u:object_r:admin_home _t:s0 bin 
-TW-T--T--. TOOt root system_u:object_r:admin home t:s0 
install.log 

-TW-T--T--. root root System_u:object_radmin home t:s0 
install.log.syslog 

# 上 述 特殊 字体 的 部 分 ， 束 是 安全 性 本 文 的 内 容 ! 


如 上 所 示 ， 安 全 性 本 文 主要 用 冒 与 分 为 三 个 字段 (最 后 一 个 字段 完 略 
过 不 看 )， 这 三 个 


字段 的 意义 为 : 


Identify:role:type 
身份 识别 :角色 :类 型 


0 身份 识别 (Identify): 相当 于 账号 方面 的 号 份 识 别 ! 主要 的 号 份 识 别 
则 有 底下 


三 种 种 见 的 类 型 : 

0 root: 表示 root 的 账号 号 份 ， 如 同上 面 的 表格 显示 的 是 root 家 目 
了 永 下 的 数据 啊 ! 

o system_u: 和 圾 示 系 统 程序 方面 的 识别 ， 通 向 束 是 程序 哆 ; 

o user_u: 代表 的 是 一 般 使 用 着 账号 相关 的 身份 。 

0 角色 (Role): 透 过 角色 字段 ， 我 们 可 以 知道 这 个 数据 是 属于 程序 、 


档案 次 


源 还 是 代表 使 用 者 。 一 般 的 角色 有 : 
o object_r: 代表 的 是 档案 或 目录 等 档案 资源 ， 这 应 该 是 最 常见 的 哆 ; 


0 system_r: 代表 的 束 是 程序 啦 ! 不 过 ， 一 般 使 用 者 也 会 被 指定 成 为 


systemT 喔 ! 
0 类 型 (Type): 在 预 设 的 targeted 政策 中 ， Identify 与 Role 字段 基本 


上 十 不 重要 的 ! 重要 的 在 于 这 个 类 型 (type) 字段 ! 基本 上 ， 一 个 主体 
程序 能 


不 能 读 取 到 这 个 档案 资源 ， 与 类 型 字段 有 关 ! 而 类 型 字段 在 档案 与 各 
序 的 定义 不 


太 相 同 ， 分 别 是 : 

o type: 在 档案 资源 (Object) 上 面 称 为 类 型 (Type); 

o domain: 在 主体 程序 (Subject) 则 称 为 领域 (domain) 了 ! 

domain 需要 与 type 搭配 ， 则 该 程序 才能 够 顺利 的 读 取 档案 资源 啦 ! 
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httpd domain 


:vat/ww wihuml 
httpd sys content t 


iusrisbinihttpd 过 个 domain 可 请 取 的 资料 
httpd_exec t 会 详 攻 的 列 在 targeted 政策 
中， 其 中 包括 可 雍 取 
httpd sys_content t 糊 漠 


Subject ， 就 是 httpd 程序 只 ! 


DD 程序 与 档案 SELinux type 字段 的 相关 性 


那么 这 三 个 字段 如 何 利用 呢 ? 首先 我 们 来 瞧 瞧 主体 程序 在 这 三 个 字段 
的 意义 为 何 ! 


透 过 吴 份 识别 与 角色 字段 的 定义 ， 我 们 可 以 约略 知道 某 个 程序 所 代表 
的 意义 喔 ! 基本 


上 ， 这 些 对 应 资料 在 targeted 政策 下 的 对 应 如 下 : 

身份 识别 

角色 

该 对 应 在 targeted 的 意义 

root 

system_r 代表 供 root 账号 登入 时 所 取得 的 权限 

system_u system_r 由 于 为 系统 账号 ， 因 此 有 是非 交谈 式 的 系统 运作 程序 
user u 

system_ 了 一 般 可 登入 用 户 的 程序 吻 ! 


但 束 如 上 所 述 ， 其 实 最 重要 的 字段 是 类 型 字段 ， 主 体 与 目标 之 间 是 否 
具有 可 以 读 写 的 权 


限 ， 与 程序 的 domain 及 档案 的 type 有 关 ! 这 两 者 的 关系 我 们 可 以 使 
用 达成 WWW 服 


务 絮 功能 的 httpd 这 支 程 序 与 /var/www/html 这 个 网 页 放置 的 目录 来 说 
明 。 首先 ， 


看 看 这 两 个 哆 噬 的 安全 性 本 文 内 容 匈 : 


[root@www ~]# yum install httpd 


[root@www ~]# 1 -Zd /usr/sbin/httpd /var/ www/html 


-TWXI-XI-X. rOOt root system_u:object_r:httpd_exec_t:s0 
/usr/sbin/httpd 

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 
/var/www/html 

# 两 者 的 角色 字段 都 是 object_r ， 代 表 都 是 档案 ! 而 httpd 属于 
httpd_exec_t 类 型 ， 

# /var/www/html 则 属于 httpd_sys_content_t 这 个 类 型 ! 


httpd 属于 httpd_exec_t 这 个 可 以 执行 的 类 型 ， 而 /Var/www/html 则 属 
下 


httpd_sys_content_t 这 个 可 以 让 httpd 领域 (domain) 读 取 的 类 型 。 文 字 
看 起 来 不 


太 容 易 了 解 吧 ! 我 们 使 用 图 示 来 说 明 这 两 者 的 关系 ! 
7.4-2、 主 体 程序 取得 的 domain 与 目标 档案 资源 的 type 相互 关系 
上 图 的 意义 我 们 可 以 这 样 看 的 : 
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0 


1. 首先 ， 我 们 触发 一 个 可 执行 的 目标 档案 ， 那 就 是 具有 httpd_exec { 
这 个 类 


型 的 /usr/sbin/httpd 


2. 该 档案 的 类 型 会 让 这 个 档案 所 造成 的 主体 程序 (Subject) 具有 httpd 
这 


个 领域 (domain)， 我 们 的 政策 针对 这 个 领域 已 经 制定 了 许多 规则 ， 其 
中 包括 这 


个 领域 可 以 读 取 的 目标 资源 类 型 
3. 由 于 httpd domain 被 设 定 为 可 以 读 取 httpd_sys_content_t 这 个 类 型 的 


目标 档案 (Object)， 因 此 你 的 网 页 放置 到 /var/www/html/ 目录 下 ， 束 
能 够 被 


httpd 那 文 程序 所 读 取 了 ; 


4. 但 最 终 能 不 能 读 到 正确 的 资料 ， 还 得 要 看 rwx 是 否 符合 Linux 权限 
的 规范 ! 


上 述 的 流程 告诉 我 们 几 个 重点 ， 第 一 个 是 政策 内 需要 制订 详细 的 
domain/type 相 


关 性 ; 第 二 个 是 大 档案 的 type 设 定 错误 ， 那么 即使 权限 设 定 为 rwx 全 
开 的 777 ， 


该 主体 程序 也 无 法 读 取 目标 档案 资源 的 啦 ! 不 过 如 此 一 来 ， 也 束 可 以 
避免 用 户 将 他 的 


家 目录 设 定 为 777 时 所 造成 的 权限 困扰 。 
7.4.2 SELinux 的 启动 、 关 闭 与 观察 


并 非 所 有 的 Linux distributions 都 支持 SELinux 的 ， 所 以 你 必须 要 先 观 
察 一 下 


你 的 系统 版 本 为 何 ! 乌 哥 这 里 介绍 的 CentOS 6.x 本 号 就 有 文 持 
SELinux 啦 ! 所 以 你 


不 需要 自行 编译 SELinux 到 你 的 Linux 核心 中 ! 目前 SELinux 支持 三 
种 模式 ， 分 别 


hh: 


OU enforcing: 强制 模式 ， 代 表 SELinux 运作 中 ， 且 已 经 正确 的 开始 限 
制 


domain/type 了 ; 


Dpermissive: 宽容 模式 ， 代表 SELinux 运作 中 ， 不 过 仅 会 有 警告 讯 县 
| 


会 实际 限制 domain/type 的 存 取 。 这 种 模式 可 以 运 来 作为 SELinux 的 
debug 


之 用 ; 
Ddisabled: 关闭 ，SELinux 并 没有 实际 运作 。 
那 你 怎么 知道 目前 的 SELinux 模式 呢 ? 整 透 过 getenforce 吧 ! 


[root@www ~]# getenforce 
Enforcing <== 诺 ! 就 显示 出 目前 的 模式 为 Enforcing 哆 


另外 ， 我 们 又 如 何 知 道 SELinux 的 政策 (Policy) 为 何 呢 ? 这 时 可 以 来 
观察 配置 文件 


啦 : 

[root@www ~]# vim /etc/selinux/config 
SELINUX=enforcing <== 调 整 enforcing|disabled|permissive 
SELINUXTYPE=targeted <== 目 前 仅 有 targeted 与 mls 
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0 SELinux 的 启动 与 关闭 


上 上面 十 默认 的 政策 与 启动 的 模式 ! 你 要 注意 的 是 ， 如 采 改 变 了 政策 则 
需要 重新 局 动 ; 


如 有 果 由 enforcing 或 permissive 改 成 disabled ， 或 由 disabled 改 成 其 他 
个 
1， 
那 也 必须 要 重新 启动 。 这 是 因为 SELinux 是 整合 到 核心 里 面 去 的 ， 你 
只 可 以 在 


SELinux 运作 下 切换 成 为 强制 (enforcing) 或 宽容 (permissive) 模式 ， 不 
能 够 直接 


关闭 SELinux 的 ! 如 果 刚 刚 你 发 现 getenforce 出 现 disabled 时 ， 请 到 
上 述 档 案 修 


改 成 为 enforcing 然后 重新 启动 吧 ! 


不 过 你 要 注意 的 是 ， 如 果 从 disable 转 到 启动 SELinux 的 模式 时 ， 由 
于 系统 必 


须要 针对 档案 写 入 安全 性 本 文 的 信息 ， 因 此 开机 过 程 会 花费 不 少时 间 
和 等 竺 重新 写 入 


SELinux 安全 性 本 文 (有 时 也 称 为 SELinux Label) ， 而 且 在 写 完 之 后 还 
得 要 再 次 的 重 


新 启动 一 次 喔 ! 你 必须 要 等 待 粉 长 一 段 时 间 ! 等 到 下 次 开机 成 功 后 ， 
再 使 用 getenforce 


来 观察 看 看 有 和 否 成 功 的 局 动 到 Enforcing 的 模式 哆 ! 


如 果 你 已 经 在 Enforcing 的 模式 ， 但 是 可 能 由 于 一 些 设 定 的 问题 导致 
SELinux 让 


某 些 服务 无 法 正常 的 运作 ， 此 时 你 可 以 将 Enforcing 的 模式 改 为 视 容 


(permissive) 


的 模式 ， 让 SELinux 只 会 警告 无 法 顺利 联机 的 讯 姑 ， 而 不 是 直接 抵挡 
主体 程序 的 读 取 


权限 。 计 SELinux 模式 在 enforcing 与 permissive 之 间 切 换 的 方法 为 : 


[root@www ~]# setenforce [0|1] 

选项 与 参数 : 

0 : 转 成 permissive 宽容 模式 ; 

1 : 转 成 Enforcing 强制 模式 

# 范例 一 : 将 SELinux 在 Enforcing 与 permissive 之 间 切 换 与 观察 
[root@www ~]# setenforce 0 

[root@www ~]# getenforce 

Permissive 

[root@www ~]# setenforce 1 

[root@www ~]# getenforce 


Enforcing 


不 过 请 注意 ， setenforce 无 法 在 Disabled 的 模式 底下 进行 模式 的 切换 
喔 ! 
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Tips: 
在 某 些 特殊 的 情况 底下 ， 你 从 Disabled 切换 成 Enforcing 之 后 ， 


竟然 有 一 堆 服 务 无 法 顺利 启动 ， 都 会 跟 你 说 在 /lib/xxx 里 面 的 数 
据 没 有 权限 读 取 ， 所 以 启动 失败 。 这 大 多 是 由 于 在 重新 写 入 SELinux 
type (Relable) 出 错 之 故 ， 使 用 Permissive 就 没有 这 个 错误 。 那 

如 何 处 理 呢 ? 最 简单 的 方法 就 是 在 Permissive 的 状态 下 ， 使 用 

『 restorecon -Rv/J 重新 还 原 所 有 SELinux 的 类 型 ， 就 能 够 处 
理 这 个 错误 ! 

7.4.3 SELinux type 的 修改 


既然 SELinux 的 类 型 字段 (type) 这 么 重要 ， 那 如 何 修改 与 变更 这 个 字 
段 ， 当 然 


吕 宇 最 重要 的 一 件 事 哆 。 首 移 ， 我 们 来 看 看 如 采 复 制 一 个 档案 到 不 同 
的 目录 去 ， 会 发 


生 什 么 状况 吧 ! 


# 汇 例 : 将 /etc/hosts 复制 到 root 家 目 孙 ， 并 观察 相关 的 SELinux 类 型 
变化 


[root@www ~]# cp /etc/hosts /root 

[root@www ~]# ls -dZ /etc/hosts /root/hosts /root 

-TW-T--T--. root root system_u:object_r:net_conf t:s0 /etc/hosts 
dr-XT-X---. rTOOt root system_u:object_r:admin_ home t:s0 /root 
-TW-T--T--. root root unconfined_u:object_r:admin_ home t:s0 


/root/hosts 


# 范例 : 将 /root/hosts 移动 到 /tmp 下 ， 并 观 罕 相关 的 SELinux 类 型 变 
化 


[root@www ~]# myv /root/hosts /tmp 

[root@www ~]# ls -dZ /tmp /tmp/hosts 

drwxrwxrwt. root root system_u:object_r:tmp_t:s0 /tmp 
-TW-T--T--. root root unconfined_u:object_r:admin_ home t:s0 


/tmp/hosts 


看 到 没有 ? 当 你 单纯 的 复制 时 ，SELinux 的 type 字段 是 会 继承 目标 目 
杂 的 ， 所 以 


/root/hosts 的 类 型 就 会 变 成 admin_home t 这 个 类 型 了 。 但 是 如 果 是 移 
动 呢 ? 那么 连 


同 SELinux 的 类 型 也 会 被 移动 过 去 ， 因 此 /tmp/hosts 会 依旧 保持 


admin home t 而 


不 会 要 成 /tmp 的 tmp_t 这 个 类 型 哆 ! 要 注意 ! 要 注意 ! 那么 ， 如 何 将 


/tmp/hosts 变 


更 成 为 最 原始 的 net_conf t 这 个 类 型 呢 ? 那 豆 得 要 使 用 chcon 中! 


0 chcon 
[root@www ~]# chcon [-R] [-ttype] [-u user] [-r role] 档案 
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[root@www ~]# chcon [-R] --reference= 范 例文 件 档案 
选项 与 参数 : 

连同 该 目录 下 的 次 目录 也 同时 修改 ; 


-t: 后 面 接 安全 性 本 文 的 类 型 字段 ! 例如 httpd_sys_content t ; 

-u : 后 面 接 身 份 识别 ， 例 如 system_ui 

-T: 后 面 街角 色 ， 例 如 system_r; 

--reference= 范 例文 件 : 拿 某 个 档案 当 范 例 来 修改 后 续 接 的 档案 的 类 


型 


# 范例 : 将 刚刚 的 /tmp/hosts 类 型 改 为 etc_t 的 类 型 

[root@www ~]# chcon -tnet_conf t /tmp/hosts 

[root@www ~]# 1 -Z /tmp/hosts 

-TW-T--T--. root root unconfined_u:object_r:net_conf _t:s0 /tmp/hosts 
# 范例 : 以 /var/spool/mail/ 为 依据 ， 将 /tmp/hosts 修改 成 该 类 型 
[root@www ~]# 1 -dZ /var/spool/mail 

drwxrwxr-x. root mail system_u:object_r:mail _spool t:s0 
/var/spool/mail 

[root@www ~]# chcon --reference=/var/spool/mail /tmp/hosts 
[root@www ~]# 1] -Z /tmp/hosts 


-TW-T--T--. TOOt root system_u:object_r:mail_spool t:s0 /tmp/hosts 


chcon 的 修改 方式 中 ， 我 们 必须 要 知道 最 终 我 们 的 SELinux type 是 啥 
类 型 后 ， 才 能 够 


变更 成 功 。 如 采 你 想 要 作 的 是 了 复原 成 原 有 的 SELinux typeJ 呢 ? 那 
可 以 参考 撒 下 的 


指令 来 进行 哆 | 


D restorecon 

[root@www ~]# restorecon [-Rv] 档案 或 目录 

选项 与 参数 : 

-R : 连同 次 目录 一 起 修改 ; 

-Vv : 将 过 程 显示 到 屏幕 上 

将 刚刚 /tmp/hosts 移动 至 /root 并 以 预 设 的 安全 性 本 文 改正 过 


[root@www ~]# mv /tmp/hosts /root 

[root@www ~]# 1] -Z /root/hosts 

-TW-T--T--. root root system_u:object_r:mail_spool t:s0 /root/hosts 
[root@wWww ~]# restorecon -Rv /root 

restorecon reset /root/hosts context 

system_u:object r:mail_ spool t:s0-> 

system_u:object r:admin home t:s0 
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# 上 面 这 两 行 其 实 是 同一 行 喔 ! 表示 将 hosts 由 mail_spool_t 改 为 
admin home t 

0 默认 目录 的 安全 性 本 文 查询 与 修改 


透 过 上 面 这 几 个 练习 ， 你 怠 会 知道 啦 ，SELinux type 何 怕 会 在 档案 的 
复制 /移动 时 


产生 一 些 变 化 ， 因 此 需要 善 用 chcon, restorecon 等 指令 来 进行 修订 。 
那 你 应 该 还 是 


会 想到 一 件 事 ， 那 就 是 ， restorecon 怎么 会 知道 每 个 目录 记载 的 默认 
SELinux type 


类 型 呢 ? 这 是 因为 系统 有 记录 嘛 ! 记录 在 


/etc/selinux/targeted/contexts， 但 是 该 


目 永 内 有 很 多 不 同 的 数据 ， 要 使 用 文本 编辑 郁 去 查阅 很 腾 烦 ， 此 时 ， 
我 们 可 以 透 过 


semanage 这 个 指令 的 功能 来 得 询 与 修改 喔 ! 


[root@www ~]#semanage {login|juser|portlinterfacelfcontextltranslation} 
-] 

[root@www ~]#semanage fcontext -{aldlim} [-frst] file_spec 

选项 与 参数 : 

fcontext : 主要 用 在 安全 性 本 文 方面 的 用 途 ，-] 为 查询 的 意思 ; 

-a : 增加 的 意思 ， 你 可 以 增加 一 些 目 隶 的 默认 安全 性 本 文 类 型 设 定 ; 
-m : 修改 的 意思 ; 

-d : 删除 的 意思 。 

# 范例 : 查询 一 下 /wavwww/ 的 预 设 安全 性 本 文 设 定 为 何 ! 
[root@www ~]# yum install policycoreutils-python 

[root@www ~]# semanage fcontext -] | grep /Var/WWww' 


SELinux fcontext 类 型 Context 


/var/www!(/.*)? all files 
system_u:object_r:httpd_sys_content t:s0 
/Var/Wwww!(/.*)?/logs(/.*)? all files 
system_u:object_r:httpd_log_t:s0 
.…( 后 面 省 略 ).…. 


从 上 面 的 说 明 ， 我 们 知道 其 实 semanage 可 以 处 理 非 常 多 的 任务 ， 不 
过 ， 在 这 个 小 节 我 


们 主要 想 了 解 的 古 每 个 目录 的 默认 安全 性 本 文 。 如 上 面 范 例 所 示 ， 我 
们 可 以 查询 的 到 


每 个 目录 的 安全 性 本 文 啦 ! 面目 了 永 的 设 定 可 以 使 用 正规 表示 法 去 指定 
二 个 范围 。 那 么 如 


些 自 定义 的 目录 的 安全 性 本 文 呢 ? 举例 来 说 ， 我 想 
制订 


/Srv/vbird 成 为 public_content t 的 类 型 时 ， 应 该 如 何 指定 呢 ? 
# 范例 : 利用 semanage 设 定 /srv/vbird 目录 的 默认 安全 性 本 文 为 


public_content_t 
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名 

[root@www ~]# mkdir /srv/vbird 
[root@www ~]# 1 -Zd /srv/vbird 


drwxr-xr-x. root root unconfined_u:object_r:var_t:s0 /srv/vbird 


# 如 上 所 示 ， 预 设 的 情况 应 该 是 var_t 这 个 吃 吃 的 | 
[root@www ~]# semanage fcontext -] | grep VSrV' 

/Srv directory system_u:object_r:var_t:s0 <== 看 

这里 

/srv/.* all files System_u:object_rvar _t:SO 
.…( 底 下 省 略 ).… 

# 上 面 则 是 预 设 的 /srv 底下 的 安全 性 本 文 数据 ， 不 过 ， 并 没有 指定 到 
/Srv/vbird 啦 

[root@www ~]#semanage fcontext -a -t public_content tf 
"/srv/vbird(/.*)?" 

[root@www ~]# semanage fcontext -] | grep /srv/vbird' 
/srv/vbird(/.*)? all files 

system_u:object_r:public_ content t:s0 

[root@www ~]# cat 
/etc/selinux/targeted/contexts/files/file_contexts.local 

# This file is auto-generated by libsemanage 

# Please use the semanage command to make changes 
/srv/vbird(/.*)? system_u:object_r:public_content_t:s0 

# 其 实 就 是 写 入 这 个 档案 的 哆 ! 和信 


[root@www ~]# restorecon -Rv /srv/vbird* <== 演 试 恢 复 默认 值 


[root@www ~]# 1] -Zd /srv/vbird 

drwxr-xr-x. root root system_u:object_r:public_content t:s0 
/srv/vbird 

# 有 默认 值 ， 以 后 用 restorecon 来 修改 比较 人 简单 ! 


semanage 的 功能 很 多 ， 不 过 乌 哥 主要 用 到 的 仅 有 fcontext 这 个 项 目的 
动作 而 已 。 如 


上 所 示 ， 你 可 以 使 用 semanage 来 查询 所 有 的 目录 默认 值 ， 也 能 够 使 
用 他 来 增加 默认 


值 的 设 定 ! 如 果 您 学 会 这 些 基 础 的 工具 ， 那 么 SELinux 对 你 来 说 ， 也 
不 是 什么 太 难 的 


吃 临 咖 ! 
7.4.4 SELinux 政策 内 的 规则 布尔 值 修订 


前 面 讲 到 ， 要 通过 SELinux 的 验证 之 后 才能 开始 档案 权限 rwx 的 判 


SELinux 的 判断 主要 是 (1) 政 策 内 的 规则 比 对 与 (2) 程 序 与 档案 的 
SELinux type 要 
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符合 才能 够 放行 。 前 一 个 小 太 谈 的 是 SELinux 的 type ， 这 个 小 节 束 是 


内 的 规则 路， 包括 如 何 查询 与 修改 相关 的 规则 放行 与 否 路 。 
0 政策 得 阅 


CentOS 6.x 预 设 使 使 用 targeted 政策 ， 那 么 这 个 政策 提供 多 少 相 天 的 
规则 呢 ? 


此 时 可 以 透 过 seinfo 来 查询 喔 ! 
[root@www ~|#yum install setools-console 
[root@www ~]# seinfo [-Atrub] 

选项 与 参数 : 


: 列 出 SELinux 的 状态 、 规 则 布尔 值 、 喘 份 识别 、 角 色 、 类 别 等 所 
信 


自 


pA 


-t : 列 出 SELinux 的 所 有 类 别 (type) 种 类 

-T: 列 出 SELinux 的 所 有 角色 (role) 种 类 

-u : 列 出 SELinux 的 所 有 身份 识别 (user) 种 类 

-b : 列 出 所 有 规则 的 种 类 (布尔 值 ) 

# 范例 一 : 列 出 SELinux 在 此 政策 下 的 统计 状态 
[root@www ~]# seinfo 

tatistics for policy file: /etc/selinux/targeted/policy/policy.24 
Policy Version & Type: v.24 (binary, mls) <== 列 出 政策 所 在 档 与 版 本 
Classes: 77 Permissions: 229 

Sensitivities: 1 Categories: 1024 

Types: 3076 Attributes: 251 

Users: 9 Roles: 13 


Booleans: 173 Cond. Expr.: 208 


Allow: 271307 Neverallow: 0 

Auditallow: 44 Dontaudit: 163738 

Type_trans: 10941 Type_change: 38 

Type_member: 44 Role allow: 20 

Role_ trans: 241 Range _trans: 2590 

.…( 底 下 省 略 ).… 

# 从 上 面 我 们 可 以 看 到 这 个 政策 是 targeted ， 此 政策 的 SELinux type 有 
3076 个 ; 

# 而 针对 网 络 服务 的 规则 (Booleans) 共 制 订 了 173 条 规则 ! 
# 范例 二 : 列 出 与 httpd 有 关 的 规则 (booleans) 有 哪些 ? 
[root@www ~]# seinfo -b | grep httpd 

Conditional Booleans: 173 
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allow_httpd_mod_auth_pam 

httpd_setrlimit 

httpd_enable_ftp_server 

.…( 底 下 省 略 ).…. 

# 你 可 以 看 到 ， 有 非常 多 的 与 httpd 有 关 的 规则 订 定 呢 ! 


从 上 面 我们 可 以 看 到 与 httpd 有 关 的 布尔 值 ， 同 样 的 ， 如 果 你 想 要 找 
到 有 httpd 字样 


的 安全 性 本 文 类 别 时 ， 就 可 以 使 用 『 seinfo -t | grep httpd 4 来 查询 
了 ! 如 采 碍 


询 到 相关 的 类 别 或 者 是 布尔 值 后 ， 想 要 知道 详细 的 规则 时 ， 殊 得 要 使 


用 sesearch 这 

人 

[root@www ~]# sesearch [--all] [-s 主体 类 别 ] [-t 目标 类 别 ] [-b 布尔 值 ] 
选项 与 参数 : 

--all : 列 出 该 类 别 或 布尔 值 的 所 有 相关 信息 

-t : 后 面 还 要 接 类 别 ， 例 如 -thttpd_t 

-b : 后 面 还 要 接 布 尔 值 的 规则 ， 例 如 -b httpd_enable_ftp_server 

# 范例 一 : 找 出 目标 档案 资源 类 别 为 httpd_sys_contentt 的 有 关 信 息 


[root@www ~]# sesearch --all -t httpd_sys_content_t 

Found 683 semantic av rules: 

allow avahi_t file_type : filesystem getattr ; 

allow corosync t file_type : filesystem getattr ; 

allow munin_system_ plugin t file_type : filesystem getattr ; 
.…( 底 下 省 略 ).… 

# 『 allow 主体 程序 安全 性 本 文 类 别 目标 档案 安全 性 本 文 类 别 J 


# 如 上 ， 说 明 这 个 类 别 可 以 被 那个 主题 程序 的 类 别 所 读 取 ， 以 及 目标 
档案 资源 


的 格式 。 


你 可 以 很 轻易 的 查询 到 某 个 主体 程序 (subjecb 可 以 读 取 的 目标 档案 资 
源 (Objecb。 


那 如 条 是 布尔 值 呢 ? 里 面 又 规范 了 什么 ? 让 我 们 来 看 看 先 : 


# 范例 三 : 我 知道 有 个 布尔 值 为 httpd_enable_homedirs ， 请 问 该 布尔 
值 规范 多 


少 规则 ? 

[root@www ~]# sesearch -b httpd_enable_homedirs --all 
Found 43 semantic av rules: 

allow httpd_user_script tuser_home dir t: dir { getattr Search 
open 上 ; 

allow httpd_sys_script tuser_home dir t: dir { ioctl read 
getattr }; 

.…( 后 面 省 略 ).…. 
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从 这 个 布尔 值 的 设 定 我 们 可 以 看 到 里 面 规范 了 非常 多 的 主体 程序 与 目 
标 档 案 资 源 的 放 

行 与 否 ! 所 以 你 知道 了 ， 实 际 规范 这 些 规 则 的 ， 束 是 布尔 值 的 项 目 

啦 ! 那 也 束 是 我 们 

之 前 所 说 的 一 堆 规则 是 也 ! 你 的 主体 程序 能 否 对 某 些 目标 档案 进行 存 
取 ， 与 这 个 布尔 


值 非常 有 关系 喔 ! 因为 布尔 值 可 以 将 规则 设 定 为 启动 (1) 或 者 是 关闭 
(0) 啦 ! 


0 布尔 值 的 查询 与 修改 


上 面 我 们 透 过 sesearch 知道 了 ， 其 实 Subject 与 Object 能 否 有 存 取 的 
权限 ， 


是 与 布尔 值 有 关 的 ， 那么 系统 有 多 少 布尔 值 可 以 透 过 seinfo -b 来 查 
询 ， 但， 每 个 布 


尔 值 是 启动 的 还 是 关闭 的 呢 ? 这 就 来 查询 看 看 吧 : 
[root@www ~]# getsebool [-a] [布尔 值 条 款 ] 
选项 与 参数 : 
: 列 出 目前 系统 上 面 的 所 有 布尔 值 条 款 设 定 为 开启 或 关闭 值 
# 范例 一 : 查询 本 系统 内 所 有 的 布尔 值 设 定 状 况 


[root@www ~]# getsebool -a 
abrt_anon_write --> off 

allow_console_login --> on 
allow_cvs_read_shadow --> off 
.…( 底 下 省 略 ).…. 

# 您 瞧 ! 这 束 告 诉 你 目前 的 布尔 值 状 态 史 1! 


那么 如 果 查 询 到 某 个 布尔 值 ， 并 且 以 sesearch 知道 该 布尔 值 的 用 途 
后 ， 想 要 关闭 或 局 


动 他 ， 又 该 如 何 处 置 ? 
[root@www ~]# setsebool [-P] 布尔 值 =[0|1] 
选项 与 参数 : 


-P : 直接 将 设 定 值 写 入 配置 文件 ， 该 设 定数 据 未 来 会 生效 的 ! 


# 范例 一 : 查询 httpd_enable_homedirs 是 否 为 on， 知 不 为 on 请 启动 
他 ! 


[root@www ~]# getsebool httpd_enable_ homedirs 
httpd_enable_homedirs --> off <== 结 果 是 of ， 依 题 意 给 他 启动 ! 
[root@www ~]# setsebool -P httpd_enable_homedirs=1 
[root@www ~]# getsebool httpd_enable_homedirs 


httpd_enable_homedirs --> on 


这 个 setsebool 最 好 记得 一 定 要 加 上 -P 的 选项 ! 因为 这 样 才能 将 此 设 
定 写 入 配置 文 


件 ! 这 是 非常 棒 的 工具 组 ! 你 一 定 要 知道 如 何 使 用 getsebool 与 
setsebool 才 行 ! 
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7.4.5 SELinux 登录 文件 记录 所 需 服务 


上 述 的 指令 功能 当中 ， 尤 其 是 setsebool, chcon, restorecon 等 ， 都 是 为 
了 当 你 


的 某 些 网 络 服 务 无 法 正常 提供 相关 功能 时 ， 才 需要 进行 修改 的 一 些 指 
令 动 作 。 但 是 ， 


我 们 怎么 知道 哪个 时 候 才 需要 进行 这 些 指令 的 修改 啊 ?” 我 们 怎么 知道 


SELinux 的 问题 导致 网 络 服务 不 对 劲 啊 ? 如 果 都 要 靠 客 户 端 联机 失败 
才 来 器 诉 ， 那 也 太 


没有 效率 了 ! 所 以 ， 我 们 的 CentOS 6.x 有 提供 几 支 侦 测 的 服务 在 登录 
SELinux 产生 


的 错误 喔 ! 那 就 是 auditd 与 setroubleshootd 。 
0 setroubleshoot --> 错误 讯 忌 写 入 /Var/log/messages 


几乎 所 有 SELinux 相关 的 程序 都 会 以 se 为 开头 ， 这 个 服务 也 是 以 se 
为 开头 | 


而 troubleshoot 大 家 都 知道 是 错误 克服 ， 因此 这 个 setroubleshoot 目 然 
就 得 要 启 


动 他 啦 ! 这 个 服务 会 将 关于 SELinux 的 错误 讯息 与 克服 方法 记录 到 


/Var/log/messages 与 /Var/log/setroubleshoot/* 里 头 ， 所 以 你 一 定 得 要 局 
动 这 个 


服务 才 好 。 局 动 这 个 服务 之 前 当然 融 是 得 要 安 闭 它 啦 ! 这 玩意 儿 总 共 
需要 两 个 软件 ， 


分 别 是 setroublshoot 与 setroubleshoot-server， 如 果 你 没有 安装 ， 请 目 


此 外 ， 原 本 的 SELinux 信息 本 来 是 以 两 个 服务 来 记录 的 ， 分 别 是 
auditd 与 


setroubleshootd。 有 既然 是 同样 的 信息 ， 因 此 CentOS 6.x 将 两 者 整合 在 
auditd 当中 


啦 ! 所 以 ， 并 没有 setroubleshootd 的 服务 存在 了 喔 ! 因此 ， 当 你 安装 
由: 小 


setroubleshoot-server 之 后 ， 请 记得 要 重新 启动 auditd， 否 则 
setroubleshootd 的 


功能 不 会 被 局 动 的 。 


[root@www ~]# yum install setroubleshoot setroubleshoot-server 
[root@www ~]# /etc/init.d/auditd restart <== 整 合 到 auditd 当中 了 |! 
Tips: 

事实 上 ，CentOS 6.x 对 setroubleshootd 的 运作 方式 是 : (1) 先 

由 auditd 去 呼叫 audispd 服务 ， (2) 然 后 audispd 服务 去 启动 
sedispatch 程序 ， (3)sedispatch 再 将 原本 的 auditd 讯 忌 转 成 
setroubleshootd 的 讯 忧 ， 进 一 步 储 存 下 来 的 ! 


那么 如 果 有 发 生 错误 时 ， 讯 轧 像 什么 呢 ? 我 们 使 用 httpd 这 文 程序 产 
生 的 错误 来 说 明 


好 了 。 假 设 你 需要 局 动 WWW 服务 器 ， 我 们 的 WWW 是 由 httpd 这 文 
服务 提供 的 ， 因 此 


你 必须 要 安装 且 局 动 它 才 行 : 
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[root@www ~]# /etc/init.d/httpd start 
[root@www ~]# netstat -tlnp | grep http 


tcp 0 0:::80 :::* LISTEN 2218/httpd 


# 看 到 没 ? 有 启动 port 80 了 ! 这 是 重点 ! 
这 个 时 候 我 们 的 WWW 服务 器 承 安 装 妥 当 了 “。 我 们 的 首页 其 实 是 放置 


到 /var/www/html 


目录 下 的 ， 且 文件 名 必须 要 是 index.html。 那 如 果 我 使 用 底下 的 模式 
来 进行 首页 的 处 


理 时 ， 可 能 束 会 产生 SELinux 的 问题 了 ! 我 们 就 来 模拟 一 下 出 问题 的 
状况 吧 ! 


[root@www ~]#echo "My first selinux check" > index.html 
[root@www ~]# 1 index.html 

-TW-I--I--. 1 root root 23 2011-07-20 18:16 index.html <== 权 限 没 问 
题 

[rootOwww ~]# myv index.html /var/www/html 


此 时 我 们 就 可 以 打开 浏览 器 ， 然 后 在 浏 哎 器 上 面 输入 Linux 目 己 的 IP 
来 查 察看 ， 看 


能 不 能 连 上 自己 的 WWW 首页 。 因 为 我 们 这 次 安装 并 没有 图 形 接 
口 ， 所 以 使 用 links 来 


查 察 http://localhost/index.html 看 看 ! 你 会 得 到 如 下 的 讯 妃 : 


[root@www ~]# links http://localhost/index.html -dump 
Forbidden 


You don't have permission to access /index.html on this server. 


Apache/2.2.15 (CentOS) Server at localhost Port 80 


画面 最 明显 的 地 方 承 是 告诉 你 ， 你 并 没有 权限 可 以 存 取 index.html 
的 ! 见 时 了 ! 明明 


权限 是 对 的 喔 ! 那 怎 办 ? 没关系 ， 就 透 过 setroubleshoot 的 功能 去 检 
查看 看 。 此 时 


请 分 析 一 下 /var/log/messages 的 内 容 吧 ! 有 点 像 这 样 : 
[root@www ~]# cat /var/log/messages | grep setroubleshoot 

Jul 21 14:53:20 www setroubleshoot: SELinux is preventing 
/usr/sbin/httpd 

"getattr" access to /var/www/html/index.html. For complete SELinux 
messages. 

run sealert -] 6c927892-2469-4fcc-8568-949da0b4cf8d 
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上 面 的 错误 讯 妃 可 是 同一 行 喔 ! 大 纲 说 的 是 『SElinux 被 用 来 避免 
httpd 读 取 到 错误 


的 安全 性 本 文 ， 想 要 查阅 完整 的 数据 ， 请 执行 sealert -1 ...4 没 错 ! 你 
注意 到 了 |! 


重点 殉 是 sealert -1 啦 ! 上 面 提供 的 信息 并 不 完整 ， 想 要 更 完整 的 说 明 
得 要 靠 


sealert 配合 侦 测 到 的 错误 代码 来 处 理 。 实际 处 理 后 会 像 这 样 : 


[root@www ~]# sealert -] 6c927892-2469-4fcc-8568-949da0b4cf8d 


Summary: 


SELinux is preventing /usr/sbin/httpd "getattr" access to 


/Var/www/html/index.html. <== 刚 刚 在 messages 里 面 看 到 的 信息 ! 
Detailed Description: <== 接 下 来 是 详细 的 状况 解析 ! 要 看 喔 ! 

SELinux denied access requested by httpd. /var/www/html/index.html] may 
be a mislabeled. /var/ www/html/index.html default SELinux type is 
httpd_sys_content t, but its current type is admin_ home t. Changing 

this file back to the default type, may fix your problem. 

…( 中 间 省 略 )..… 

Allowing Access: <== 超 重要 的 项 目 ! 要 看 要 看 ! 


You can restore the default system context to this file by executing 
the 

restorecon command. restorecon /var/www/html/index.htm!l', if this 
file 

is a directory, you can recursively restore using restorecon -R 
/var/www/html/index.html. 

Fix Command: 

/sbin/restorecon /var/www/html/index.html' <== 知 道 如 何 解 决 了 吗 ? 
Additional Information: <== 还 有 一 些 额 外 的 信息 ! 
.…( 底 下 省 略 ).… 

[root@wWwww ~]# restorecon -Rv /var/ www/html/index.html' 


restorecon reset /var/ www/html/index.html context 


unconfined_u:object_r: 
admin home t:s0->system_u:object_r:httpd_sys_content t:s0 


重点 束 是 上 面 特 殊 字体 显示 的 地 方 ! 你 只 要 照 着 『Allowing Accessj 
里 面 的 提示 去 进 


行 处 理 ， 就 能 够 完成 你 的 SELinux 类 型 设 定 了 ! 比 对 刚刚 我 们 上 个 小 
太 提 到 的 


restorecon 与 chcon 你 就 能 够 知道 ， setroubleshoot 提供 的 讯息 有 多 有 
效 了 吧 ! 不 


net.giang(@hotmail.com 


管 出 了 哈 SELinux 的 问题 ， 绝 大 部 分 在 setroubleshoot 的 服务 中 就 会 告 
诉 你 解决 之 


道 ! 所 以 ， 很 多 东西 都 不 用 育 的 ! 
用 email 或 在 指令 列 上 面 直接 提供 setroubleshoot 错误 讯 忌 


如 果 每 次 测试 都 得 要 到 /var/log/messages 去 分 析 ， 那 真是 挺 磋 烦 的 
啊 ! 没关系 ， 


我 们 可 以 透 过 email 或 console 的 方式 来 将 信息 产生 ! 也 就 是 说 ， 我 们 
可 以 让 

setroubleshoot 主动 的 发 送 产生 的 信息 到 我 们 指定 的 email， 这 样 可 以 
方便 我 们 实时 


的 分 析 喔 ! 怎么 办 到 ? 就 修改 setroubleshoot 的 配置 文件 即 可 。 你 可 以 
查阅 


/etc/setroubleshoot/setroubleshoot.cfg 这 个 档案 的 内 容 ， 我 们 只 需要 修改 


的 地 方 
Ws 


[root@www ~]# vim /etc/setroubleshoot/setroubleshoot.cfg 
[emaill 

# 大 约 在 81 行 左 右 ， 这 行 要 存在 才 行 ! 

recipients_filepath = /var/lib/setroubleshoot/email alert_recipients 
# 大 约 在 147 行 左右 ， 将 原本 的 False 修改 成 True 先 ! 

console = True 

[root@www ~]# vim /var/lib/setroubleshoot/email alert_recipients 
root(Olocalhost 

your@email.address 


[root@www ~]# /etc/init.d/auditd restart 


之 后 你 束 可 以 透 过 分 析 你 的 email 来 取得 SELinux 的 错误 讯 斩 嗓 ! 非 
常 的 简单 吧 ! 只 


是 要 注意 ， 上 壕 的 填写 email 的 档案 中 ， 不 能 只 写 账 号 ， 你 要 连同 
(@localhost 都 写 


上 ， 这 样本 机 上 面 的 root 才能 收 到 信件 喔 ! 就 这 么 简单 哩 ! 和信 
0D SELinux 错误 克服 的 总 结 


我 们 来 简单 的 做 个 总 结 吧 ! 因为 你 的 网 络 联机 要 通过 SELinux 才 的 权 
限 判定 后 才 


能 够 继续 rwx 的 权限 比 对 。 而 SELinux 的 比 对 主要 又 分 为 : (1) 需 要 通 
过 政策 的 各 项 


规则 比 对 后 (2) 才 能 够 进行 SELinux type 安全 性 本 文 的 比 对 ， 这 两 项 工 
作 都 得 要 正确 


才 行 。 而 后 续 的 SELinux 修改 主要 是 透 过 chcon, restorecon, setsebool 
等 指令 来 


处 理 的 。 但 是 如 何 处 理 呢 ? 可 以 透 过 分 析 /var/log/messages 内 提供 的 


setroubleshoot 的 信息 来 处 置 ! 这 样 束 很 轻松 的 可 以 管理 你 的 SELinux 
[ 哆 | 
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但 是 如 果 因 为 某 些 原因 ， 举 例 来 说 CentOS 没有 规范 到 的 
setroubleshoot 信息 时 ， 


可 能 你 还 是 无 法 了 解 到 事情 到 撒 是 哪里 出 错 。 那 此 时 我 们 会 这 样 建 
议 : 


1. 在 服务 与 rwx 权限 都 没有 问题 ， 却 无 法 成 功 的 使 用 网 络 服务 时 |; 
2. 先 使 用 setenforce 0 设 定 为 宽容 模式 |; 


3. 再 次 使 用 该 网 络 服务 ， 如 果 这 样 就 能 用 ， 表 示 SELinux 出 问题 ， 请 
往 下 继 


续 处 理 。 如 果 这 样 还 不 能 用 ， 那 问题 吏 不 是 在 SELinux 上 面 ! 请 再 找 
其 他 解决 


方法 ， 拘 下 的 动作 不 适合 你 ; 


4. 分 析 /var/log/messages 内 的 信息 ， 找 到 sealert -1] 相关 的 信息 并 且 执 


位; 


5. 找到 Allow Access 的 关键 词 ， 照 里 面 的 动作 来 进行 SELinux 的 错误 
克服 ; 


6. 处 理 完毕 重 靳 setenforce 1 ， 再 次 测试 网 络 服务 吧 | 


这 样 就 能 够 很 轻松 的 管理 你 的 SELinux 啦 ! 不 需要 想 太 多 ! 分 析 登 录 
档 就 对 啦 ! 


Tips: 

当 鸟 哥 第 一 次 修改 这 个 SELinux 的 部 分 时 ， 在 sealert 的 部 分 一 
直 出 现 错误 ， 信 息 为 : query_alert error (1003)… 后 来 经 过 更 

新 软件 后 ， 又 发 现 无 法 以 UTF8 进行 文字 译 码 的 问题 ! 实在 伤 脑筋 一 
最 后 还 是 修改 了 /etc/sysconfig/il8n 将 里 面 的 数据 设 定 为 : 
LANG=en_US 并 且 重 新 启动 ， 才 顺利 恢复 sealert 的 信息 说 明 ! 真 
的 是 很 怪异 ! 

7.5 被 攻击 后 的 主机 修复 工作 


如 果 你 的 主机 被 攻击 而 被 取得 操纵 权 的 话 ， 而 你 也 由 于 了 解 到 主机 监 
控 的 需要 ， 所 


以 在 最 短 的 时 间 内 发 现 此 一 事件 ， 那 么 该 如 何 针对 这 个 被 入 侵 的 主机 
来 修复 ? 那 如 果 


你 要 修复 的 话 ， 你 这 个 网 管 人 员 还 需要 哪些 额外 的 技能 ? 故 下 我 们 就 


来 谈 一 谈 。 


7.5.1 网 管 人 员 应 具备 的 技能 


从 本 章 第 一 人 小节 的 分 析 当 中 ， 你 会 发 现 网 管 还 真 的 是 挺 宗 的 ， 他 需要 
对 操作 系统 有 


一 定 程 度 的 熟悉 ， 对 于 程序 的 运作 与 权限 概念 则 需要 更 了 解 ， 否 则 就 
麻烦 了 ! 那 除了 


操作 系统 的 基本 概念 之 外 ， 咀 们 网 管 还 需要 喻 特殊 技巧 呢 ? 当然 需要 
啊 ! 其 实 一 部 主 


机 最 第 发 生 问题 的 状况 ， 都 是 由 『 内 部 的 网 络 误 用 所 产生 的 4 ， 所 以 
啊 ， 你 只 管 好 主 


机 而 已 是 『 没 有 办 法 杜绝 问题 4 的 啦 ! 拘 下 束 来 谈 谈 你 还 需要 蛤 技巧 
呢 ? 


0 了 解 什么 是 需要 保护 的 内 容 : 


我 的 天 呐 ， 还 要 知道 什么 是 需要 保护 的 呀 ? 没 错 ， 束 是 如 此 ! 由 刚刚 
我 们 知道 的 


主机 入 侵 方法 当中 ， 不 难 了 解 ， 只 要 有 人 坐 在 你 的 主机 前 面 ， 那 么 任 
何事 都 有 
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近 ! J 你 


可 以 参考 一 下 汤姆 元 鲁 斯 在 【不 可 能 的 任务 」 里 面 要 宵 取 一 部 计算 机 
内 的 数据 的 


困难 度 ! 和 Am 


0 软件 :还 包含 最 重要 的 数据 呢 | 
0 预防 墨客 (Black hats) 的 入 侵 : 


这 可 不 是 开玩笑 的 ， 什 么 是 黑客 呀 ! 这 是 因为 原本 在 西部 电影 当中 ， 
坏人 都 是 戴 


墨色 帽子 的 ， 所 以 之 前 的 人 们 束 称 网 络 攻击 者 为 Black hats 啦 ! 在 预 
防 这 方 


面 的 攻击 者 时 ， 除 了 闫 格 管制 网 络 的 登入 之 外 ， 还 需要 特别 控制 原本 
你 的 主机 


中 的 人 物 ! 束 我 们 小 网 站 来 说 ， 不 要 以 为 好 朋友 束 随 便 他 啦 ! 他 说 要 
指定 密码 


征 跟 他 的 账号 相同 比较 好 记 ， 你 束 答 应 他 ! 等 到 人 家 用 他 的 密码 登入 
你 的 主机 ， 


并 破坏 你 的 主机 ， 那 可 束 得 不 偿 失 了 ! 如 果 是 大 企业 的 话 ， 那 么 员工 
使 用 网 络 


时 ， 也 要 分 等 级 的 呢 ! 人 人 
0 主机 环境 安全 化 : 


没什么 好 讲 的 ， 除 了 多 关心 ， 还 是 多 关心 ! 仔细 的 分 析 登 录 档 ， 负 各 
上 网 看 看 最 


0 
的 软件 ! 


因为 ， 越 快 更 新 你 的 软件 ， 残 越 快 可 以 杜绝 墨客 的 入 侵 ! 
0 防火墙 规则 的 订 害 : 


这 部 份 比较 麻烦 一 些 啦 ! 因为 你 必需 要 不 断 的 测试 测试 再 测试 ! 以 取 
得 优化 的 网 


络 安全 设 定 ! 怎么 说 昵 ? 要 了 瞬 得 的 是 ， 如 果 你 的 防火 墙 规则 订 定 得 太 
多 的 时 候 ， 


那么 一 个 资料 封包 就 要 经 过 越 多 的 天 卡 才 能 完整 的 通过 防火 墙 ， 以 进 
入 到 主机 内 


部 ! 嘿嘿 ! 这 可 是 相当 的 花费 时 间 的 ! 会 造成 主机 的 效能 不 朝 ! 特别 


留意 这 一 
扩 呢 | 
0 实时 维护 你 的 主机 : 


就 像 刚刚 说 的 ， 你 必需 要 随时 维护 你 的 主机 ， 因 为 ， 防 火 墙 不 是 一 经 
设 定之 后 就 


不 用 在 再 他 了 ! 因为 ， 再 三 密 的 防火 墙 ， 也 会 有 漏洞 的 ! 这 些 漏洞 包 
括 防 火 规 


则 设 定 不 恨 、 利 用 较 新 的 侦 测 入 侵 技术 、 利 用 你 的 有 旧 软件 的 服务 漏洞 


等 等 ! 所 


以 ， 必 需要 实时 维护 你 的 主机 呀 ! 这 方面 除了 分 析 log files 之 外 ， 也 
可 以 夭 


由 实时 侦 测 来 进行 这 个 工作 ! 例如 PortSentry 就 是 蛮 不 错 的 一 套 软 件 
呢 ! 


0 民 好 的 教育 训练 课程 : 


不 是 所 有 的 人 痢 是 计算 机 网 络 高 手 ， 尤 其 虽然 现在 信息 爆炸 但 是 仍然 
有 很 多 的 机 


会 会 遇 到 计算 机 日 痴 呀 ! 这 个 时 候 ， 要 晓得 的 是 ， 我 们 对 于 内 部 网 域 
通常 没有 
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太 多 的 规范 ， 那 如 条 他 用 内 部 的 计算 机 去 做 坏事 怎么 办 ? 有 时 候 还 是 
二 


挖 哩 一 所 以 说 ， 需 要 特别 的 教育 训练 诬 程 蚜 ! 这 也 十 公司 需要 网 管 的 
主因 之 一 1 


0 完善 的 备份 计划 ; 


天 有 不 测 风云 ， 人 有 旦 夕 祝福 呀 ! 什么 人 都 不 知道 什么 时 候 会 有 大 地 
震 、 我 们 也 


0 6 
日 当 重 


的 ! 此 外 ， 大 概 没 有 人 会 说 他 的 主机 是 100% 的 安全 吧 ! 那 如 果 你 的 
系统 被 入 


侵 ， 造 成 数据 的 损毁 时 ， 你 要 如 何 复 原 你 的 主机 啊 ? 呵呵 ! 一 个 民 好 
的 网 站 管理 


a 无 时 无 刻 都 会 进行 重要 数据 的 备份 的 ! 很 重要 啊 ! 这 一 部 份 请 
参考 一 下 


奏章 作 


也 会 所 到 一 个 很 棱 的 rsync 工具 ， 你 可 以 瞧 瞧 ! 
7.5.2 主机 受 攻击 后 复原 工作 流程 


所 谓 『 百 密 一 玖 J 啊 ， 人 不 是 神 ， 总 会 有 考虑 不 周 的 情况 ， 万 一 你 的 
主机 整 因 为 这 


『 一 天 J 导致 被 入 侵 了 ， 那 该 怎么 办 ? 由 上 面 的 说 明 当中 ， 我 们 知道 
『 木 马 」 是 很 严 


重 的 ， 因 为 他 会 在 你 的 系统 下 开 个 后 门 (Back door) 让 攻击 者 可 以 登入 
你 的 主机 ， 而 


且 还 会 窜改 你 Linux 上 面 的 程序 ， 让 你 找 不 到 该 木马 程序 ! 怎么 办 ? 


很 多 朋友 都 习惯 『 反 正 只 要 将 root 的 密码 改 回来 就 好 了 J 这 样 的 观 
ee 


那样 一 部 主机 还 是 有 被 做 为 中 继 站 的 危险 啊 ! 所 以 ， 万 一 你 的 主机 被 
入 侵 了 ， 最 好 的 


方法 还 是 『 重 新 安 痰 Linux 4 会 比较 干净 | 


那 该 如 何 重 新 安 逆 呢 ? 很 多 朋友 一 再 地 安装 ， 却 一 再 地 被 入 侵 一 为 什 
么 呢 ? 因为 他 


没有 了 记 取 教训 4 啊 ! 呵呵 ! 属 下 我 们 就 来 谈 一 谈 ， 一 部 被 入 侵 的 主 
机 应 该 如 何 修复 


比较 好 ? 
1. 立即 拔除 网 络 线 : 


既然 发 现 被 入 侵 了 ， 那 么 第 一 件 事 情 束 是 拿 挥 网 络 功 能 ! 拿 挥 网 络 功 
能 最 简单 的 


作法 目 然 束 古 拨 挥 网 络 线 了 ! 事实 上 ， 拿 挥 网 络 线 最 主要 的 功能 除了 
你 护 目 己 


之 外 ， 还 可 以 保护 同 网 域 的 其 他 主机 。 怎 么 说 呢 ? 举 个 2003 年 8 月 发 
病 的 疾 


风 病 毒 好 了 ， 他 会 感染 同 网 域 之 内 的 其 他 主机 喔 ! 所 以 ， 拨 除 网 络 线 
之 后 ， 远 程 


人 
的 其 他 相 


天 主机 啊 ! 
2. 分 析 登 录 文 件 信 息 ， 搜 寻 可 能 的 入 侵 途 径 : 


被 入 侵 之 后 ， 决 不 古 只 要 重新 安装 束 好 ， 还 需要 额外 分 析 『 为 什么 我 
的 主机 这 


一 次 会 被 入 侵 ， 对 方 是 如 何 入 侵 的 ? 3 ， 如 果 你 能 够 找 出 问题 点 ， 那 
么 不 但 你 


的 Linux 功力 立刻 增强 了 ， 主 机 也 会 越 来 越 安 全 喔 ! 而 如 采 你 不 知道 
如 何 找 出 
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被 入 侵 的 可 能 途径 ， 那 么 重新 安 半 后 ， 下 次 还 是 可 能 被 以 同样 的 方法 
入 侵 啊 ! 次 


磋 烦 的 啦 ! 好 了 ， 那 该 如 何 找 出 入 侵 的 途径 呢 ? 
0 分 析 登 录 档 :低级 的 cracker 通常 仅 是 利用 工具 软件 来 入 侵 你 的 系 
统 ， 所 以 我 们 可 以 厌 由 分 析 一 些 主要 的 登录 档 来 找 出 对 方 的 IP 以 及 可 


能 
有 问题 的 漏洞 。 可 以 分 析 /var/log/messages, /var/log/secure 还 有 利 

用 last 指令 来 找 出 上 次 登入 者 的 信息 。 

o 检查 主机 开放 的 服务 : 很 多 Linux 用 户 常 常 不 晓得 自己 的 系统 上 面 


开 了 多 少 的 服务 ? 我 们 说 过 ， 每 个 服务 部 有 其 漏洞 或 者 是 不 应 该 启用 
的 增 


强 型 或 者 是 测试 型 功能 ， 所 以 ， 找 出 你 系统 上 面 的 服务 ， 并 且 检 查 一 
下 


和 或 者 是 在 设 定 上 面 有 了 人 缺失， 然后 一 个 一 个 的 
玖 理 


吧 ! 


o 查询 Internet 上 面 的 安全 通报 : ， 透 过 通报 来 了 解 一 下 最 新 的 
漏洞 信息 ， 说 不 定 你 的 问题 就 在 上 面 ! 
3. 重要 数据 备份 : 


主机 被 入 侵 后 ， 显 得 问题 相当 的 严重 ， 为 什么 呢 ? 因为 主机 上 面 有 相 
当 重要 的 数 


据 啊 ! 如 果 主 机 上 面 没 有 重要 的 数据 ， 那 么 直接 重新 安 饭 束 好 了 ! 所 
以 ， 被 入 
侵 之 后 ， 检 查 完了 入 侵 途 径 ， 再 来 束 是 要 备份 重要 的 数据 了 。 好 了 ， 


问 个 问题 ， 


什么 是 了 重要 数据 4」? who, ps, ls 等 等 指令 是 重要 数据 吗 ? 还 是 


httpd.conf 等 


配置 文件 是 重要 数据 ? 又 或 者 是 /etc/passwd, /etc/shadow 才 是 重要 数 
据 ? 


呵呵 ! 基本 上 ， 重 要 的 数据 应 该 是 『 非 Linux 系统 上 面 原 有 的 数 
据 」 ， 例 如 


/etc/passwd, /etc/shadow, WWW 网 页 的 数据 , /home 里面 的 用 户 重 要 档 
安 竺 等 
和 可可， 


至 于 /etc/*, /usr, /var 等 目 永 下 的 数据 ， 就 不 见得 需要 备份 了 。 注意 
下 


要 备份 一 些 binary 执行 文件 ， 因 为 Linux 系统 安装 完毕 后 本 来 就 有 这 


些 档案 ， 


此 外 ， 这 些 档案 也 很 有 可 能 『 已 经 被 审改 过 了 J4 ， 那 备份 这 些 数据 ， 
反而 造成 


下 次 系统 还 是 不 干净 ! 


4. 重新 全 新 安装 : 


备份 完了 数据 ， 再 来 束 是 重新 安装 Linux 系统 了 。 而 在 这 次 的 安装 
中 ， 你 最 好 


选择 适合 你 自己 的 安装 软件 即 可 ， 不 要 全 部 软件 都 给 他 安装 上 去 啊 ! 
挺 危险 的 ! 


5. 软件 的 漏洞 修补 : 


记得 啊 ， 重 新 安装 完毕 之 后 ， 请 立即 更 新 你 的 系统 软件 ， 否 则 还 是 会 
被 入 侵 的 啦 ! 


0 
下 载 下 


来 ， 然 后 刻录 起 来 ， 然 后 拿 到 自己 的 刚刚 安装 完成 的 系统 上 面 ， 
mount CD 之 后 


全 部 给 他 更 新 ， 更 新 之 后 ， 并 且 设 定 了 相关 的 防火 墙 机 制 ， 同 时 进行 
下 一 步骤 了 关 


半 或 黎 除 不 需要 的 服务 1 后， 我 才 特 网 络 线 揪 上 主机 的 网 络 卡 上 1 因 
为 鸟 哥 不 
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敢 确 定 在 安装 完毕 后 ， 连 上 Internet 去 更 新 软件 的 这 段 时 间 ， 会 不 会 
XN 


侵 攻 击 说 ..… 
6. 天 闭 或 移 除 不 需要 的 服务 : 


这 个 重要 性 不 需要 再 讲 了 吧 ? ! 局 用 越 少 的 服务 ， 系 统 当 然 可 以 被 入 
侵 的 可 能 性 


就 比较 低 。 
7. 数据 回复 与 恢复 服务 设 定 : 


刚刚 备份 的 数据 要 赶紧 的 复制 回来 系统 ， 同 时 将 系统 的 服务 再 次 的 重 
新 开放 ， 请 


注意 ， 这 些 服务 的 设 定 最 好 能 够 再 次 的 确认 一 下 ， 避 免 一 些 不 恰当 的 


设 定 参 数 
在 里 头 喔 ! 
8. 连 上 Internet: 


所 有 的 工作 都 进行 的 差不多 了 ， 那 么 才 将 刚刚 拿 挥 的 网 络 线 接 上 来 
吧 ! 恢复 主机 


Hf Tl 


经 过 这 一 连 串 的 动作 后 ， 你 的 主机 应 该 会 恢复 到 比较 干净 的 环境 ， 此 
时 还 不 能 掉 以 


轻 心 ， 最 好 还 是 参考 防火 墙 的 设 定 ， 并 且 多 方面 的 参考 Internet 上 面 
二 学 老 示 的 答 


验 ， 好 让 你 的 主机 可 以 更 安全 一 些 ! 
重点 回顾 


人 
包括 


TCP/AP 的 封包 协议 ， 以 及 重要 的 Socket Pair ， 亦 即 来 源 与 目标 的 IP 


port 等 。 在 TCP 封包 方面 ， 则 还 得 了 解 SYN/ACK 等 封包 状态 ; 


J 包 要 进入 我 们 Linux 本 机 ， 至 少 需 要 通过 (1) 防火墙 (2) 服 务 


的 管理 (3)SELinux (4) 取 得 档案 的 rwx 权限 等 步 又 ; 


0 主机 的 基本 保护 之 一 ， 束 是 拥有 正确 的 权限 设 定 。 而 复杂 的 权限 设 
定 可 以 利 


用 ACL 或 者 是 SELinux 来 辅助 ; 


关闭 SELinux 可 在 /etc/selinux/config 档案 内 设 定 ， 亦 可 在 核心 功能 
中 


加 入 selinux=0 的 项 目 ; 
吕 rootkit 为 一 种 取得 root 的 工具 组 ， 你 可 以 利用 rkhunter 来 查询 你 主 
机 


是 否 被 植 入 rootkit; 
DD 网管 人 员 应 该 注意 在 员工 的 教育 训练 还 有 主机 的 完善 备份 方案 上 
面 ; 


和 黑客 软件 ， 几 乎 都 是 透 过 你 的 Linux 上 面 的 软件 漏洞 来 
攻击 


Linux 主机 的 ; 
0 软件 升级 是 预防 被 入 侵 的 最 有 效 方法 之 一 ; 


0 良好 的 登录 档 分 析 习 惯 可 以 在 短 时 间 内 发 现 系 统 的 漏洞 ， 并 加 以 修 
党 % 
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课 后 练习 


0 我 老 是 发 现 我 的 系统 怪 怪 的 ， 似 乎 有 点 停顿 的 模样 ， 怀 疑 可 能 是 
CPU 负荷 


太 大 ， 所 以 要 去 检查 一 下 系统 相关 的 信息 。 请 问 ， 我 该 以 什么 指令 去 
检查 我 的 系 


统 相 关 的 信息 ? 
可 以 使 用 top, sar free, ps -aux, uptime, last 等 功能 去 查询 系统 的 
相关 信息 喔 ! 然后 再 以 kill 之 类 的 指令 删除 ; 


0 我 怀疑 我 的 系统 上 面 有 过 多 的 具有 SUID 的 档案 存在 ， 导 致 一 般 使 
用 者 可 以 


随意 的 取得 root 的 权限 ， 请 问 ， 我 要 如 何 找 出 这 些 具 有 SUID 权限 的 


档案 ? 
因为 SUID 是 4000 这 个 权限 的 模样 ， 所 以 我 可 以 这 样 做 : 
find / -perm +4000 


0 我 由 国内 一 些 ftp 网 站 上 下 载 了 Red Hat 公司 释 出 的 软件 ， 我 想 安装 
他 ， 


但 又 不 知道 该 软件 档案 是 否 被 修改 过 ! 请 问 我 该 如 何 确定 这 个 软件 的 
可 用 性 ? 


利用 最 位 易 的 MD5 编码 来 测试 一 下 ， 例 如 『 md5sum 软件 名 称 J4 ， 
再 比 对 


与 原始 软件 释 出 的 MD5 数据 是 否 相 同 ! ? 
如果 我 发 现 使 用 『 setfacl -m u:dmtsai:rwx /path/to/file 2 有 时， 系统 


却 显 示 『setfacl: Operation not supported4 ， 你 认为 是 哪里 出 问题 ? 


filesystem 没有 启用 ACL 文 持 ， 或 者 是 系统 的 核心 不 文 


于 


请 先 使 用 mount -o remount,acl /mount_point 测试 看 能 否 支 持 ACL ， 若 
不 文 


持 时 ， 则 可 能 是 由 于 核心 版 本 太 旧 了 。 
DD 如 果 要 设 定 dmtsai 可 以 使 用 /home/project 这 个 目录 (假设 home 已 


经 文 持 ACL)， 在 该 目录 内 dmtsai 可 以 拥有 完整 的 权限 。 请 问 该 如 何 


设 定 该 目 
录 ? 
除了 使 用 setfacl -m u:dmtsai:rwx /home/project 之 外 ， 还 需要 设 定 


setfacl -m m:rwx /home/project ， 因为 ACL 在 目录 方面 ， 必 须 透 过 用 
户 权 


力 及 mask 的 逻辑 运算 后 才能 生效 ! 

DSELinux 是 否 为 防火 墙 ? 

并 非 防火 墙 ， 他 是 用 来 作为 更 细部 权限 设 定 的 一 个 核心 模 

块 。 

0 民 好 的 密码 规划 是 防备 主机 的 第 一 要 务 ， 请 问 Linux 系统 当中 ， 关 
于 密码 

相关 的 档案 与 规则 设 定 在 哪些 档案 里 面 ? 
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0 


密码 的 设 定 规则 在 /etc/login.defs 里 面 ! 至 于 密码 档案 在 /etc/shadow 


内 |! 
0 简易 说 明 ， 当 一 部 主机 被 入 侵 之 后 ， 应 该 如 何 处 理 ? 


找 出 问题 、 重 新 安 锋 、 漏 洞 修补 、 数 据 还 原 ! 请 参考 本 章 最 后 一 市 的 
说 明 。 


参考 数据 与 延伸 阅读 


站 :_http://insecure.org/nmap/ 


[ Fedora 的 SELinux FAQ: _http://fedora.redhat.com/docs/selinux-faq/ 


六: _http://selinux.sourceforge.net/ 
0 Red Hat 之 RHEL 4 的 SELinux 指南 : 
http:/www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-g 
uide/index.html 
D 美国 国家 安全 局 的 SELinux 简介 :_http:/www.nsa.gov/selinux/ 
[| Rootkit hunter:_http:/wwwrootkitnlyprojects/rootkit hunter.html 
2002/08/12: 第 一 次 完成 日 期 | 
2003/08/23: 重新 编排 与 增加 重点 回顾 、 课 后 练习 
2006/08/31: 将 旧 的 文章 移动 到 此 处 。 
2006/09/06: 增加 SELinux 的 简单 说 明 ， 增 加 ACL 的 控件 目 ! 
2010/09/06: 将 旧 的 基于 CentOS 4.x 撰写 的 文章 移动 至 此 处 。 
2010/09/09: 因为 单纯 使 用 CentOS ， 因 此 取消 了 apt 的 更 新 功能 吧 


2010/09/21: 将 旧 的 限制 联机 坊 口 与 网 络 升级 软件 挪动 到 新 的 目录 
雪 了 1 


2010/09/21: 还 有 许多 数据 报 括 (1) 重 点 回顾 /(2) 课 后 练习 /(3) 延 促 阅 读 
的 部 分 都 还 没 


有 汇 整 好 。 只 是 先 公 告 这 一 版 而 已 。 
2011/07/20: 将 基于 CentOS 5.x 的 文章 移动 到 此 处。 


2011/07/21: SELinux 还 真是 怪异 啊 ! 修改 成 CentOS 6.x 的 模样 啦 ! 
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各 
第 八 章 、 路 由 观念 与 路 由 器 设 定 
最 近 更 新 日 期 : 2011/07/22 


如 果 说 下 是 门牌 ， 那么 邮差 如 何 走 到 你 家 束 是 『 路 由 J 的 功能 啦 ! 局 
域 网 络 如 采 想 成 是 条 巷子 ， 那 么 


路 由 器 就 古 那 间 车 子 内 的 邮局 ! 其 实 本 革 应 该 是 第 二 章 网 络 基础 的 延 
伸 ， 将 网 络 的 设 定 延伸 到 整个 区 网 


的 路 由 右上 而 已 。 那 何 时 会 用 到 路 由 絮 ? 如 果 你 的 环境 中 需要 将 整 批 
IP 再 区 隔 出 不 同 的 广播 区 段 时 ， 


那么 就 得 要 透 过 路 由 器 的 封包 转 递 能 力 了 。 本 章 是 下 一 章 防 火 墙 与 
NAT 的 基础 ， 得 先 看 完 才 比较 容易 


理解 下 一 章 想 要 讨论 的 事情 喔 ! 


8.1 路 由 


8.1.3 重复 路 由 的 问题 

8.2 路 由 喜 架 设 

8.2.1 什么 是 路 由 箱 与 IP 分享 器 :_ sysctl.conf 
8.2.2 何 时 需要 路 由 器 

8.2.3 静态 路 由 之 路 由 狼 

8.3 动态 路 由 避 染 设 : quagga (zebra + ripd) 


8.6 本 童 习 题 

8.7 参考 数据 与 延伸 阅读 

8.8 针对 本 文 的 建议 :_http://phorum.vbird.org/viewtopic.php?t=26428 
8.1 路 由 


过 路 由 的 相关 概念 ， 他 最 大 的 功能 就 


0 
规划 网 络 封包 的 传递 方式 与 方向 。 至 于 路 由 的 观察 则 可 以 使 用 route 


这 个 指令 来 得 阅 


本 。 好 了， 那么 路 由 的 形式 有 哪些 ? 你 又 该 如 何 确认 路 由 是 否 正 
确 呢 ? 


8.1.1 路 由 表 产 生 的 类 型 


如 同 第 二 章 网 络 基 础 里 面谈 到 的 ， 每 一 部 主机 都 有 目 己 的 路 由 表 ， 也 
忠 是 说 ， 你 


必须 要 透 过 你 目 己 的 路 由 表 来 传递 你 主机 的 封包 到 下 一 个 路 由 紫 上 
头 。 帮 传送 出 去 后 ， 


该 封包 整 得 要 透 过 下 一 个 路 由 器 的 路 由 表 来 传送 了 ， 此 时 与 你 目 己 主 
机 的 路 由 表 束 没有 


关系 啦 ! 所 以 说 ， 如 采 网 络 上 面 的 某 一 部 路 由 右 设 定 错误 ， 那 ... 封 包 
的 流 同 整 会 发 生 
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很 大 的 问题 。 我 们 束 得 要 透 过 traceroute 来 党 试 了 解 一 下 每 个 router 
的 封包 流 问 


喝 。 


OK! 那 你 目 己 主机 的 路 由 表 到 底 有 哪些 部 分 呢 ? 我 们 以 克 下 这 个 路 由 
表 来 说 明 : 


[root@wWwww ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 
Iface 

192.168.1.0 0.0.0.0 255.255.255.0U000 

eth0 <== 1 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 

eth0 <== 2 

0.0.0.0 192.168.1.254 0.0.0.0 UG 000 


eth0 <== 3 


首先 ， 我 们 得 知道 在 Linux 系统 下 的 路 由 表 是 由 小 网 域 排列 到 大 网 
域 ， 例 如 上 面 的 路 


由 表 当 中 ， 路 由 是 由 『 192.168.1.0/24 --> 169.254.0.0/16 --> 0.0.0.0/0 
( 预 设 路 


由 ) 4 来 排列 的 。 而 当主 机 的 网 络 封 包 需 要 传送 时 ， 束 会 查阅 上 述 的 
三 个 路 由 规则 来 


了 解 如 何 将 该 封包 传送 出 去 。 那 你 会 不 会 觉得 奇怪 ， 为 什么 会 有 这 几 
个 路 由 呢 ? 其 实 


路 由 表 主 要 有 这 几 种 情况 来 设计 的 : 
0 依据 网 络 接口 产生 的 卫 而 存在 的 路 由 : 
例如 192.168.1.0/24 这 个 路 由 的 存在 是 由 于 乌 哥 的 这 部 主机 上 面 拥有 


192.168.1.100 这 个 IP 的 关系 ! 也 就 是 说 ， 你 主机 上 面 有 几 个 网 络 接 
口 的 在 


在 时 ， 该 网 络 接口 束 会 存在 一 个 路 由 才 对 。 所 以 说 ,万 一 你 的 主机 有 
两 个 网 络 


接口 时 ， 例 如 192.168.1.100, 192.168.2.100 时 ， 那 路 由 至 少 就 会 有 : 


[root@www ~]# ifconfig eth1 192.168.2.100 
[root@wWwww ~]# route -n 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.2.0 0.0.0.0 255.255.255.0U00 


0 eth1 


192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth0O 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 
0 eth0O 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 

0 eth0O 

net.qiang(Ohotmail.com 

0 手动 或 预 设 路 由 (default route): 


你 可 以 使 用 route 这 个 指令 手动 的 给 予 额外 的 路 由 设 定 ， 例 如 那个 预 
设 路 由 


0.0.0/0) 就 是 额外 的 路 由 。 使 用 route 这 个 指令 时 ， 最 重要 的 一 个 概 


念 是 : 
『 你 所 规划 的 路 由 必须 要 是 你 的 装置 (如 eth0) 或 卫 可 以 直接 沟通 


(broadcasb 的 情况 4 才 行 。 举例 来 说 ， 以 上 述 的 环境 来 看 ， 我 的 环境 
里 面 仅 


有 192.168.1.100 及 192.168.2.100 ， 那 我 如 果 想 要 连接 到 192.168.5.254 
这 个 路 由 器 时 ， 下 达 

[root@www ~]# route add -net 192.168.5.0 \ 

> netmask 255.255.255.0 gw 192.168.5.254 

SIOCADDRT: No such process 


看 吧 ! 系统 融会 啊 应 没有 办 法 连接 到 该 网 域 ， 因 为 我 们 的 网 络 接口 与 


192.168.5.0/24 根本 束 没 有 关系 嘱 ! 那 如 果 192.168.5.254 真 的 是 在 我 
们 的 


实体 网 络 连 接 上 ， 并 且 与 我 们 的 eth0 连接 在 一 起 ， 那 其 实 你 应 该 是 这 
样 做 : 


[root@www ~]#Troute add -net 192.168.5.0 \ 


XX4 


> netmask 255.255.255.0 dev eth0 
[root@wWwww ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.5.0 0.0.0.0 255.255.255.0U00 
0 eth0 

192.168.2.0 0.0.0.0 255.255.255.0U00 
0 eth1 

192.168.1.0 0.0.0.0 255.255.255.0U00 
0 eth0O 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 
0 eth0O 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 


0 eth0 


这 样 你 的 主机 束 会 直接 用 eth0 这 个 装置 去 党 试 连接 192.168.5.254 了 | 
另外 ,， 

上 面 路 由 输出 的 重点 其 实 是 那个 了 Flags 的 G 4 了 1! 因为 那个 G 代表 
使 用 外 部 


的 装置 作为 Gateway 的 意思 ! 而 那个 Gateway (192.168.1.254) 必须 要 
在 我 们 


的 已 存在 的 路 由 环境 中 。 这 可 是 很 重要 的 概念 喔 ! 和信 
0 动态 路 由 的 学 习 : 
除了 上 面 这 两 种 可 以 直接 使 用 指令 的 方法 来 增加 路 由 规则 之 外 ， 还 有 


一 种 透 过 


由 器 与 路 由 器 之 间 的 协商 以 达成 动态 路 由 的 环境 ， 不 过 ， 那 束 需 要 额 
外 的 软件 
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oO 
支持 了 ， 例 如 :” ”zebra (http:/www.zebra.org/) 或 CentOS 上 面 的 Quagga 


(http:/www.quagga.net/) 这 几 个 软件 了 ! 


事实 上 ， 在 Linux 的 路 由 规则 都 是 透 过 核心 来 达成 的 ， 所 以 这 些 路 由 
表 的 规则 都 


是 在 核心 功能 内 啊 ! 也 就 是 在 内 存 当 中 喔 ! 和信 
8.1.2 一 个 网 卡 绑 多 个 IP: IP Alias 的 测试 用 途 


我 们 在 第 五 章 的 ifconfig 指令 里 面谈 过 eth0:0 这 个 装置 吧 ? 这 个 装置 
可 以 在 


原本 的 eth0 上 面 模 拟 出 一 个 虚拟 接口 出 来 ， 以 让 我 们 原本 的 网 络 卡 具 
有 多 个 IP ， 具 


有 多 个 IP 的 功能 就 被 称 为 IP Alias 了 。 而 这 个 eth0:0 的 装置 可 以 透 过 
ifconfig 


或 jp 这 两 个 指令 来 达成 ， 关 于 这 两 个 指令 的 用 途 请 翻 回去 之 前 的 草 市 
阅读 ， 这 里 不 


再 浪费 篇 幅 啊 ! 


那 你 或 许 会 问 啊 : 『 这 个 IP Alias 有 哈 用 途 啊 ? 4 好 问题 ! 这 个 卫 
Alias 最 大 


的 用 途 就 是 可 以 让 你 用 来 『 应 急 I! 怎么 说 呢 ? 我 们 就 来 聊 一 聊 他 的 
几 个 第 见 的 用 途 


好 了 : 
吕 测试 用 : 
雯 么 说 用 来 测试 呢 ? 举例 来 说 ， 现 在 使 用 卫 分 孚 器 的 朋友 很 多 吧 ， 而 


小 


如 的 设 定 通常 是 使 用 WWW 接口 来 提供 的 。 这 个 IP 分 至 器 通 第 会 给 
于 二 个 村 有 


IP 亦 即 是 192.168.0.1 来 让 用 户 开 局 WWW 接口 的 浏览 。 问 题 来 了 ， 
那 你 要 如 


何 连接 上 这 部 IP 分 至 器 呢 ? 嘿嘿 ! 在 不 更 动 既 有 的 网 络 环境 下 ， 你 可 
以 直接 利 


用 : 
[root@www ~]#ifconfig [device] [ IP ] netmask [netmask ip] [upldownj] 


[root@www ~]# ifconfig eth0:0 192.168.0.100 netmask 255.255.255.0 up 


来 建立 一 个 虚拟 的 网 络 接口 ， 这 样 束 可 以 立刻 连 授 上 IP 分 孚 器 了 ， 也 


不 会 更 动 
到 你 原本 的 网 络 参 数 设 定 值 哩 ! 
0 在 一 个 实体 网 域 中 含有 多 个 IP 网 域 : 


男 外 ， 如 果 像 是 在 补习 班 或 者 十 学 校 单 位 的 话 ， 由 于 原本 的 主机 网 络 
设 定 最 好 不 


要 随便 修改 ， 那 如 采 要 让 同学 们 大 家 互通 所 有 的 计算 机 信息 时 ， 束 可 
以 让 每 个 


同学 都 透 过 IP Alias 来 设 定 同一 网 域 的 IP ， 如 此 大 家 束 可 以 在 同一 个 
网 段 


内 进行 各 项 网 络 服务 的 测试 了 ， 很 不 错 吧 
0 既 有 设备 无 法 提供 更 多 实体 网 卡 时 : 
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如 果 你 的 这 部 主机 需要 连接 多 个 网 域 ， 但 该 设备 却 无 法 提供 安装 更 多 
的 网 卡 时 ， 


你 只 好 勉 为 其 难 的 使 用 IP Alias 来 提供 不 同 网 段 的 联机 服务 了 | 


不 过 ， 你 需要 知道 的 是 : 所 有 的 IP Alias 都 是 由 实体 网 卡 仿真 来 的 ， 
所 以 当 要 局 


动 eth0:0 时 ，eth0 必须 要 先 被 启动 才 行 。 而 当 eth0 被 关闭 后 ， 所 以 
eth0:n 的 模 

拟 网 卡 将 同时 也 被 关闭。 这 得 先 要 了 解 才 行 ， 否 则 常常 会 搞 错 启动 的 
装置 啊 ! 在 路 由 


规则 的 设 定 当中 ， 第 利 需 要 进行 一 些 测试 ， 那 这 个 IP Alias 束 派 的 上 
用 场 了 。 尤其 


学 校 单 位 的 练习 环境 当中 ! 


古 
基本 上 ， 除 非 有 特殊 需求 ， 否 则 建议 你 要 有 多 个 IP 时 ， 最 好 在 不 同 的 
网 卡 上 面 达 


成 ， 如 果 你 真 的 要 使 用 IP Alias 时 ， 那 么 如 何在 开机 的 时 候 束 启动 IP 
alias 呢 ? 方 


法 有 很 多 啦 ! 包括 将 上 面 用 ifconfig 启动 的 指令 写 入 /etcrc.d/rc.local 
档案 中 


(但 使 用 /etc/init.d/metwork restart 时 ， 该 IP alias 无 法 被 重新 局 动 )， 但 
乌 哥 


个 人 比较 建议 使 用 如 下 的 方式 来 处 理 : 
0 透 过 建立 /etc/sysconfig/network-scripts/ifcfg-eth0:0 配置 文件 
举例 来 说 ， 你 可 以 透 过 底下 这 个 方法 来 建立 一 个 虚拟 设备 的 配置 文件 


[root@www ~]# cd /etc/sysconfig/network-scripts 

[root@www network-scripts]# vim ifcfg-eth0:0 

DEVICE=eth0:0 <== 相 当 重 要 ! 一 定 要 与 文件 名 相同 的 狠 置 代号 ! 
ONBOOT=yes 

BOOTPROTO=static 

IPADDR=192.168.0.100 

NETMASK=255.255.255.0 

[root@www network-scripts]# ifup eth0:0 


[root@www network-scripts]# ifdown eth0:0 


[root@www network-scripts]# /etc/init.d/network restart 


关于 装置 的 配置 文件 案 内 的 更 多 参数 说 明 ， 请 参考 第 四 章 4.2.1 手动 
设 定 IP 


人 使 用 这 个 方法 有 个 好 处 ， 融 是 当 你 
区 用 


『 /etc/init.d/network restart 3 有 时， 系统 依旧 会 使 用 你 的 ifcfg-eth0:0 档 


案 内 的 设 定 值 来 局 动 你 的 虚拟 网 卡 喔 ! 另外 ， 不 论 ifcfg-eth0:0 内 的 
ONBOOT 


设 定 值 为 何 ， 只 要 ifcfg-eth0 这 个 实体 网 卡 的 配置 文件 中 ， ONBOOT 
为 yes 时 ， 


开机 就 会 将 全 部 的 eth0:n 都 局 动 。 


透 过 这 个 简单 的 方法 ， 你 就 可 以 在 开机 的 时 候 启 动 你 的 虚拟 接口 而 取 
得 多 个 IP 在 


同一 张 网 卡 上 了 。 不 过 需要 注意 的 是 ， 如 果 你 的 这 张 网 卡 分 别 透 过 
DHCP 以 及 手动 的 


方式 来 设 定 你 的 IP 参数 ， 那 么 dhcp 的 取得 务必 使 用 实体 网 卡 ， 亦 即 
是 eth0 之 类 的 


网 卡 代 号 ， 而 手动 的 就 以 eth0:0 之 类 的 代号 来 设 定 较 佳 。 
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Tips: 

在 旧版 的 CentOS 4.x 中 ， 如 果 你 的 eth0 是 使 用 DHCP 来 取得 IP 
参数 的 话 ， 那 么 由 于 ifup 及 /etc/init.d/network 这 两 个 

script 内 程序 代码 撰写 的 方式 ， 将 会 导致 ifcfg-eth0:0 这 个 配置 
文件 不 会 被 使 用 到 喔 ! 不 过 这 个 问题 在 CentOS 5.x 以 后 的 版 本 中 
已 经 被 克服 嗓 ! 

8.1.3 重复 路 由 的 问题 


很 多 朋友 可 能 都 有 一 个 可 爱 的 想法 ， 那 区 是 : [我 可 不 可 以 利用 两 张 
网 卡 ， 利 用 


两 个 相同 网 域 的 IP 来 增加 我 这 部 主机 的 网 络 流量 J ? 事实 上 这 古 一 个 
可 行 的 方案 ， 不 


过 必须 要 透 过 许多 的 设 定 来 达成 ， 大 你 有 需求 的 话 ， 可 以 参考 网 中 人 
大 哥 写 的 这 一 篇 


Ce 
吕 带宽 人 负载 平 衡 (http://www.study-area.org/tips/multipath.htm) 


如 果 只 是 单纯 的 以 为 设 定好 两 张 网 卡 的 IP 在 同一 个 网 域 束 能 够 增加 你 
主机 的 两 


音 流量 ， 那 可 束 大 错 特 错 了 ~ 为 什么 呢 ? 还 记得 我 们 在 路 由 表 规 则 里 
面 提 过 网 络 封 包 


的 传递 主要 是 依据 主机 内 的 路 由 表 规 则 吧 ! 那 如 采 你 有 两 张 网 络 卡 
时 ， 假 设 : (底下 


信息 请 思考 ， 不 用 实 作 ! ) 


LD eth0 : 192.168.0.100 

DU ethl : 192.168.0.200 

那 你 的 路 由 规则 会 是 如 何 呢 ? 理论 上 会 变 成 这 样 : 
[rootOwww ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 
Iface 

192.168.0.0 0.0.0.0 255.255.255.0U000 

eth1 

192.168.0.0 0.0.0.0 255.255.255.0U000 

eth0 


也 束 古 议 ， (1) 当 要 主动 发 送 封包 到 192.168.0.0/24 的 网 域 时 ， 都 只 会 
透 过 第 一 条 规 


则 ， 也 就 是 透 过 ethl 来 传 出 去 ! (2) 在 响应 封包 方面 ， 不 管 是 由 eth0 
还 是 由 eth1 


进来 的 网 络 封 包 ， 都 会 通过 eth1 来 回 传 ! 这 可 能 会 造成 一 些 问题 ， 万 
其 是 一 些 防 火 墙 


的 规则 方面 ， 很 可 能 会 发 生 一 些 户 重 的 错误 ， 如 此 一 来 ， 根 本 没有 办 


也 不 会 有 增加 网 络 流量 的 效果 ! 更 惨 的 是 ， 还 可 能 发 生 封 包 传递 错误 
的 情况 呐 ! 所 以 


说 ， 同 一 部 主机 上 面 设 定 相同 网 域 的 耳 时 ， 得 要 特别 留意 你 的 路 由 
规则 ， 一 般 来 说 ， 


不 应 该 设 定 同一 的 网 段 的 不 同 耻 在 同一 部 主机 上 面 。 例 如 上 面 的 案 
例 束 是 一 个 不 好 


的 示范 啊 ! 
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-eo 


Tips: 

为 什么 会 特别 强调 这 个 观念 呢 ? 大 约 2000 年 前 后 ， 乌 哥 刚 接触 
Linux 时 ， 由 于 当时 的 网 络 速度 相当 缓慢 ， 为 了 提升 网 络 流量 乌 哥 
费 尽心 思 啊 一 后 来 想到 说 ， 如 果 有 两 片 网 卡 ， 不 就 可 以 增加 流量 了 
吗 ? 于 是 束 设 定 了 两 个 同 网 域 的 IP 在 一 部 主机 的 两 张 网 卡 上 ， 结 
果 呢 ? 很 多 服务 都 无 法 连通 了 ! 就 是 因为 痛 过 ， 所 以 才 有 更 强烈 的 
印象 啊 ! 错误 经 验 学 习 法 则 入 和 1 

8.2 路 由 器 架设 


我 们 知道 在 局 域 网 络 里 面 的 主机 可 以 透 过 广播 的 方式 来 进行 网 络 封包 
的 传送 ,但 在 


不 同 网 段 内 的 主机 想 要 互相 联机 时 ， 束 得 要 透 过 路 由 器 了 。 那么 什么 
征 路 由 器 ? 他 的 


主要 功能 是 什么 ? 底下 我 们 就 来 聊 一 聊 ! 
8.2.1 什么 是 路 由 如 与 IP 分 享 需 


既然 主机 想 要 将 数据 传送 到 不 同 的 网 域 时 得 透 过 路 由 右 的 帮忙 ， 所 以 
啦 ， 路 由 句 的 


主要 功能 束 是 : 
『 转 递 网 络 封包 J 哆 ! 也 束 是 说 ， 路 由 融会 分 析 来 源 端 封包 的 IP 表 


在 表 头 内 找 出 要 送 达 的 目标 卫 后 ， 透 过 路 由 器 本 喘 的 路 由 表 (routing 
table) 来 将 


这 个 封包 向 下 一 个 目标 ext hop) 传送 。 这 整 是 路 由 器 的 功能 。 那 么 
路 由 器 的 功能 


可 以 如 何 达 成 呢 ? 目前 有 两 种 方法 可 以 达成 : 
0 硬件 功能 : 例如 Cisco, TP-Link, D-Link ( 注 2) 等 公司 都 有 生产 硬件 
路 


由 器 ， 这 些 路 由 大 内 有 藤 入 式 的 操作 系统 ， 可 以 负责 不 同 网 域 间 的 封 
包 转 译 与 


转 递 等 功能 ; 
0 软件 功能 : 例如 Linux 这 个 操作 系统 的 核心 束 有 提供 封包 转 递 的 能 
js 


高 阶 的 路 由 器 可 以 连结 不 同 的 硬 设 备 ， 并 且 可 以 转译 很 多 不 同 的 封包 
格式 ， 通 第 ... 


价格 也 不 便宜 啊 ! 在 这 个 章节 里 面 ， 我 们 并 没有 要 探讨 这 么 高 阶 的 吃 
吃 ， 仅 讨论 在 以 


太 了 网络 里 头 最 简单 的 路 由 属 功 能 : 连接 两 个 不 同 的 网 域 。 嘿 嘿 ! 这 个 
功能 Linux 个 人 


计算 机 就 可 以 达成 了 ! 那 怎 么 达成 呢 ? 
DD 打开 核心 的 封包 转 递 (IP forward) 功能 
就 如 同 路 由 表 是 由 Linux 的 核心 功能 所 提供 的 ， 这 个 转 递 封包 的 能 


也 是 Linux 


核心 所 提供 ， 那 如 何 观 察 核 心 古 否 已 经 有 局 动 封包 转 递 呢 ? 很 简单 
啊 ， 观 绎 核心 功能 


的 显示 档案 即 可 ， 如 下 所 示 : 


[root@www ~]#cat /proc/sys/net/ipv4/ip_forward 
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0 <== 0 代表 没有 启动 ，1 代表 局 动 了 

要 让 该 档案 的 内 容 变 成 局 动 值 1 最 简单 的 方 是 就 是 使 用 : [Techo 1 > 


/proc/sys/net/ipv4/ip_forwardJ 即 可 。 不 过 ， 这 个 设 定 结果 在 下 次 重新 
启动 后 残 会 


失效 。 因 此 ， 乌 哥 建 议 您 直接 修改 系统 配置 文件 的 内 容 ， 那 瓯 是 
/etc/sysctl.conf 来 


达成 开机 局 动 封包 转 递 的 功能 喔 。 


[root@www ~]# vim /etc/Ssysctl.conf 


# 将 底下 这 个 设 定 值 修 改正 确 即 可 ! (本 来 值 为 0， 将 它 改 为 1 即 可 ) 


net.ipv4.ip_forward = 1 
[root@www ~]# sysctl -p <== 立 刻 让 该 设 定 生 歼 


sysctl 这 个 指令 是 在 核心 工作 时 用 来 直接 修改 核心 参数 的 一 个 指令 ， 更 
多 的 功能 可 以 


参考 man sysctl 查询 。 不 要 怀疑 ! 只 要 这 个 动作 ， 你 的 Linux 丈 具 有 
最 简单 的 路 由 


右 功 能 了 。 而 由 于 Linux 路 由 需 的 路 由 表 设 定 方法 的 不 同 ， 通 稍 路 由 
研 规 划 其 路 由 的 


方式 号 有 两 种 : 
0 静 仿 路 由 : 直接 以 类 似 route 这 个 指令 来 直接 设 定 路 由 表 到 核心 功能 
= 


设 定 值 只 要 与 网 域 环境 相符 即 可 。 不 过 ， 当 你 的 网 域 有 变化 时 ， 路 由 
絮 束 得 要 


重新 设 定 ; 

0 动态 路 由 : 透 过 类 似 Quagga 或 zebra 软件 的 功能 ， 这 些 软 件 可 以 安 
装 在 

Linux 路 由 器 上 ， 而 这 些 软件 可 以 动态 的 侦 测 网 域 的 变化 ， 并 直接 修 
改 Linux 

核心 的 路 由 表 信 息 ， 你 无 须 手 动 以 route 来 修改 你 的 路 由 表 信 息 喔 ! 


了 解 了 路 由 器 之 后 ， 接 下 来 你 可 能 需要 了 解 到 什么 是 NAT (Network 
Address 


Translation, 网 络 地 址 转换 ) 服务 器， NAT 是 啥 ? 其 实 IP 分 享 器 束 是 最 
简单 的 NAT 


| 


服务 器 啦 ! 嘿嘿 ， 了 解 了 吗 ? 没 错 ，NAT 可 以 达成 卫 分 享 的 功能 ， 
而 NAT 本 身 就 


征 一 个 路 由 郁 ， 只 是 NAT 比 路 由 右 多 了 一 个 下 IP 转换 J 的 功能 。 怎 
么 说 呢 ? 


个 网 域 可 以 互相 沟通 网 络 封包 。 那 如 果 两 个 接口 一 边 是 公共 IP (public 
IP) 但 


一 边 是 私有 IP (private IP) 呢 ? 由 于 私有 IP 不 能 直接 与 公共 IP 沟通 其 
路 


由 信息 ， 此 时 束 得 要 和 额外 的 『 IP 转译 4 功能 


0 Linux 的 NAT 服务 絮 可 以 透 过 修改 封包 的 IP 表 头 数据 之 来 源 或 目标 
IP ， 


让 来 自私 有 了 卫 的 封包 可 以 转 成 NAT 服务 器 的 公共 IP ， 就 可 以 连 上 
Internet ! 


所 以 说 ， 当 路 由 需 两 端的 网 域 分 别 是 Public 与 Private IP 时 ， 才 需要 
NAT 的 


功能 ! NAT 功能 我 们 会 
下 路 由 器 而 已 啊 ! 


和 人 入 
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0 
0 


8.2.2 何 时 需要 路 由 器 


| 
I 用 


hub/switch 串 接 各 部 计算 机 ， 然后 透 过 单一 线路 连接 到 Internet 上 即 
可 。 不 过 ， 如 


果 是 超过 数 百 部 计算 机 的 大 型 企业 环境 ， 由 于 他 们 的 环境 通常 需要 考 
虑 如 下 的 状况 ， 


因此 才 需 要 路 由 天 的 夸 设 : 
0 实体 线路 之 布线 及 效能 的 考虑 : 
在 一 栋 大 楼 的 不 同 楼 层 要 串 接 所 有 的 计算 机 可 能 有 点 难度 ， 那 可 以 透 


过 每 个 楼 层 


架设 一 部 路 由 器 ， 并 将 每 个 楼 层 路 由 万 相 连接 ， 束 能 够 简单 的 管理 各 
楼 层 的 网 


络 ; 此外， 如果 各 楼 层 不 想 架 设 路 由 右 ， 而 是 直接 以 网 络 线 串 接 各 楼 
层 的 


hub/switch 时 ， 那 由 于 同一 网 域 的 数据 是 透 过 广播 来 传递 的 ， 那 当 整 
个 大 楼 的 


某 一 部 计算 机 在 广播 时 ， 所 有 的 计算 机 将 会 予以 回应 ， 哇 ! 会 造成 大 
楼 内 网 络 


~ 所 以 架设 路 由 絮 将 实体 线路 分 隔 ， 就 有 助 于 这 方面 的 网 


0 部 门 独立 与 保护 数据 的 考虑 : 
只 要 实体 线路 是 连接 在 一 


起 的 ， 那 


人 二 播 时 ， 你 就 可 以 透 过 类 似 tcpdump 的 指令 来 监听 封包 
数据 ，3 


且 了 予以 窃取 一 所 以 ， 如 采 你 的 部 门 之 间 的 数据 可 能 需要 独立 ， 或 者 旦 
某 些 重要 
的 数据 必须 要 在 公司 内 部 也 予以 保 扩 时， 可 以 将 那些 重要 的 计算 机 放 
Ed 
的 实体 网 域 ， 并 额外 加 设防 火 墙 、 路 由 右 等 连 授 上 公司 内 部 的 网 域 。 
路 由 右 束 只 是 一 个 设备 ， 要 如 何 使 用 端 看 你 的 网 络 环境 的 规划 ! 上 面 


仅 是 举 出 一 些 
应 用 案例 。 改 下 我 们 先 束 架设 一 个 静态 路 由 的 路 由 器 来 玩 一 玩 吧 | 
8.2.3 静态 路 由 之 路 由 需 


假设 在 贵 公 司 的 网 络 环境 当中 ， 除 了 一 般 职员 的 工作 用 计算 机 是 直接 
连接 到 对 外 的 


路 由 融 来 连结 因特网 ， 在 内 部 其 实 还 有 一 个 部 门 需 要 较 安 全 的 独立 环 
境 ， 因 此 这 部 份 


的 网 络 规划 可 能 是 这 样 的 情况 (参考 图 3.2-1 内 容 延 伸 而 来 ): 
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Router A 下 外 : public IP 
IP 闪 : 192.168.1.254/24 


Routing: 192.168.100.024 -> Linux router 
Default gateway: 外 部 (1ISP 混 供 ) 


Linux Router 

了 了 外 : 192.168.1.100/24 

IP 内 : 192,168.100.254,24 
Default gateway: 192.168,1.254 


A 


workstation 
IP: 192.168.1.101 | 
Default gateway: 192.168.1.254 : 
Option (HA Linux router) : 


-a 


: clientlinux winxp win7 | 
| 192.168.100.10 192.168.100.20 192.168.100.30 | 
Default gateway: 192.168.100.254 | 


| 


8.2-1、 静 态 路 由 之 路 由 器 架构 示意 图 

以 上 图 的 架构 来 说 ， 这 家 公司 主要 有 两 个 class C 的 网 段 ， 分 别 是 : 
0 一般 区 网 (192.168.1.0/24) : 包括 Router A, workstation 以 及 Linux 
Router 三 部 主机 所 构成 ; 

0 保护 内 网 (192.168.100.0/24): 包括 Linux Router, clientlinux, winxp， 
win7 等 主机 所 构成 。 

其 中 192.168.1.0/24 是 用 来 做 为 一 般 员 工 连接 因特网 用 的 ， 至 于 


192.168.100.0/24 则 是 给 特殊 的 部 门 用 的 。workstation 代表 的 是 一 般 员 
工 的 计算 机 ， 


clientlinux 及 winxp, win7 则 是 特殊 部 门 的 工作 用 计算 机 ， Linux 
Router 则 是 这 


个 特殊 部 门 用 来 连接 到 公司 内 部 网 域 的 路 由 器 。 在 这 样 的 架构 下 ， 该 
特殊 部 门 的 封包 


就 能 够 与 公司 其 他 部 门 作 实 体 的 分 隔 了 。 
由 上 图 你 也 不 难 发 现 ， 只 要 钙 具 有 路 由 器 功能 的 设备 (Router A, Linux 


Router) 


都 会 具有 两 个 以 上 的 接口 ， 分 别 用 来 沟通 不 同 的 网 域 ， 同 时 该 路 由 右 
也 都 会 具有 一 个 


预 设 路 由 啊 ! 和 人 A! 另外 ， 你 还 可 以 加 上 一 些 防 火 墙 的 软件 在 Linux 
Router 上 ， 以 


保护 clientlinux, winxp, win7 呢 ! 


， 先 从 clientlinux 这 部 计算 机 谈 
EE 。 如 果 


clientlinux 想 要 连 上 Internet， 那 么 他 的 联机 情况 会 是 如 何 ? 

0 发 起 联机 需求 : clientlinux --> Linux Router --> Router A --> Internet 
net.giang(@hotmail.com 

DD 啊 应 联机 需求 : Internet --> Router A --> Linux Router --> clientlinux 


观察 一 下 两 部 Router 的 设 定 ， 要 达到 上 壕 功 能 ， 则 Router A 必须 要 有 
两 个 接口 ， 

一 个 是 对 外 的 Public IP 一 个 则 是 对 内 的 Private IP ， 因 为 卫 的 类 别 不 
同 ， 因 此 

Router A 还 需要 额外 增加 NAT 这 个 机 制 才 行 ， 这 个 机 制 我 们 在 后 续 章 
节 会 继续 谈 到 。 


除 此 之 外 ，Router A 并 不 需要 什么 额外 的 设 定 。 至 于 Linux Router 整 
更 简单 了 ! 什 


么 事 都 不 用 作 ， 将 两 个 网 络 适配器 设 定 两 个 IP ， 并且 启 动 核心 的 封 
包 转 递 功能 ， 芯 


刻 吏 拱 设 完毕 了 1! 非常 简单 ! 我 们 就 来 谈 一 谈 这 几 个 机 右 的 设 定 吧 ! 
[| Linux Router 


在 这 部 主机 内 需要 有 两 张 网 卡 ， 乌 哥 在 这 里 将 他 定义 为 (假设 你 已 经 
将 刚刚 实 作 的 


eth0:0 取消 挥 了 ): 


LD eth0: 192.168.1.100/24 


LD eth1: 192.168.100.254/24 

#1. 再 看 看 eth0 的 设 定 吧 ! 虽然 我 们 已 经 在 第 四 章 束 搞定 了 : 
[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE="ethO" 

HWADDR="08:00:27:71:85:BD" 

NM CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO=none 

IPADDR=192.168.1.100 

NETMASK=255.255.255.0 


GATEWAY=192.168.1.254 <== 最 重要 的 设 定 啊 ! 透 过 这 部 主机 连 出 去 
的 ! 


# 2. 再 处 理 eth1 这 张 之 前 一 直 都 没有 驱动 的 网 络 卡 吧 ! 


[root@www ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1 
DEVICE="eth1" 
HWADDR="08:00:27:2A:30:14" 

NM_ CONTROLLED="no" 
ONBOOT="yes" 

BOOTPROTO="none" 
IPADDR=192.168.100.254 
NETMASK=255.255.255.0 

# 3. 启动 IP 转 递 ， 真 的 来 实 作成 功 才 行 ! 
[root@www ~]# vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1 
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# 找到 上 述 的 设 定 值 ， 将 默认 值 0 改 为 上 述 的 1 即 可 ! 储存 后 离开 
二 | 


[root@www ~]# sysctl -p 

[root@www ~]# cat /proc/sys/net/ipv4/ip_forward 

1 <== 这 束 是 重点 ! 要 是 1 才 可 以 吻 | 

# 4. 重新 启动 网 络 ， 并 且 观 察 路 由 与 ping Router A 
[root@www ~]# /etc/init.d/network restart 


[root@wWwww ~]# route -n 


Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 

Use Iface 

192.168.100.0 0.0.0.0 255.255.255.0U00 

0 eth1 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0O 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 

0 eth0 

# 上 面 的 重点 在 于 最 后 面 那个 路 由 郝 的 设 定 是 否 正确 吻 ! 
[root@www ~1]# ping -c 2 192.168.1.254 

PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data. 

64 bytes from 192.168.1.254: icmp_sedqd=1 ttl=64 time=0.294 ms 
64 bytes from 192.168.1.254: icmp_sedq=2 ttl=64 time=0.119 ms <== 有 回 
应 即 可 

# 5. 暂时 关闭 防火 墙 ! 这 一 步 也 很 重要 喔 ! 

[root@www ~]# /etc/init.d/iptables stop 


有 够 简单 吧 ! 而 且 透 过 最 后 的 ping 我 们 也 知道 Linux Router 可 以 连 上 
Router A 中 |! 


这 样 你 的 Linux Router 束 OK 了 呐 ! 此 外 ，CentOS 6.x 默认 的 防火 墙 
规则 会 将 来 目 


不 同 网 卡 的 沟通 封包 剔除 ， 所 以 还 得 要 暂时 关闭 防火 墙 才 行 。 接 下 来 
则 是 要 设 定 


clientlinux 这 个 被 保护 的 内 部 主机 网 络 史 。 
0 受 你 护 的 网 域 ， 以 clientlinux 为 例 


不 论 你 的 clientlinux 是 哪 一 种 操作 系统 ， 你 的 环境 都 应 该 是 这 样 的 (图 
8.2-1) : 


LIP: 192.168.100.10 

[| netmask: 255.255.255.0 

LD gateway: 192.168.100.254 

D hostname: clientlinux.centos.vbird 
net.giang@hotmail.com 

LD DNS: 168.95.1.1 


以 Linux 操作 系统 为 例 ， 并 且 dientlinux 仅 有 eth0 一 张 网 卡 时 ， 他 的 
设 定 是 


这 样 的 : 

[root@clientlinux ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO 
DEVICE="ethO" 

NM CONTROLLED="no" 

ONBOOT="yes" 

BOOTPROTO=none 


IPADDR=192.168.100.10 


NETMASK=255.255.255.0 

GATEWAY=192.168.100.254 <== 这 个 设 定 最 重要 啦 | 
DNS1=168.95.1.1 <== 有 这 个 就 不 用 目 己 改 /etc/resolv.conf 
[root@clientlinux ~]# /etc/init.d/network restart 
[root@clientlinux ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 

Use Iface 

192.168.100.0 0.0.0.0 255.255.255.0U10 

0 eth0O 

169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 

0 eth0O 

0.0.0.0 192.168.100.254 0.0.0.0 UG 00 

0 eth0 

[root@clientlinux ~]# ping -c 2 192.168.100.254 <==ping 自己 的 
gateway( 会 成 功 ) 

[root@clientlinux ~]# ping -c 2 192.168.1.254 <==ping 外 部 的 
gateway( 会 失败 ) 


最 后 一 个 动作 有 问题 哟 ! 怎么 会 连 ping 都 没有 办 法 ping 到 Router A 
的 卫 呢 ? 如 


果 连 ping 都 没有 办 法 给 予 啊 应 的 话 ， 那么 表示 我 们 的 联机 是 有 问题 
的 ! 再 从 刚刚 的 


啊 应 联机 需求 流程 来 看 一 下 吧 ! 
0 发 起 联机 :，clientlinux --> Linux Router (OK) --> Router A (OK) 


0D 回应 联机 : Router A (此 时 router A 要 咖 应 的 目标 是 
192.168.100.10)， 


Router A 仅 有 public 与 192.168.1.0/24 的 路 由 ， 所 以 该 封包 会 由 public 
界面 再 传 出 去 ， 因 此 封包 就 回 不 来 了 .. 


发 现 了 吗 ? 网 络 是 双 回 的 ， 此 时 封包 出 的 去 ， 但 是 非常 可 怜 的 ， 封 包 
回 不 来 一 那 怎 


办 呢 ? 只 好 和 此 知 Router A 当 路 由 规则 全 到 192.168.100.0/24 时 ， 要 将 
该 封包 传 


192.168.1.100 就 是 了 ! 所 以 你 要 这 样 进行 。 
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D 特别 的 路 由 规则 : Router A 所 需 路 由 


假设 我 的 Router A 对 外 的 网 卡 为 ethl ， 而 内 部 的 192.168.1.254 则 是 
设 定 在 


eth0 上 头 。 那 怎么 在 Router A 增加 一 条 路 由 规则 呢 ? 很 简单 啊 ! 直接 
使 用 route add 


去 增加 即 可 ! 如 下 所 示 的 情况 : 
[root@routera ~]# route add -net 192.168.100.0 netmask 255.255.255.0 \ 


> gw 192.168.1.100 


不 过 这 个 规则 并 不 会 写 入 到 配置 文件 ， 因 此 下 次 重新 局 动 这 个 规则 丈 
不 见 了 ! 所 以 ， 你 


应 该 要 建立 一 个 路 由 配置 文件 。 由 于 这 个 路 由 是 依附 在 eth0 网 卡 上 
的 ， 所 以 配置 文 


件 的 档 名 应 该 要 是 route-eth0 喔 ! 这 个 配置 文件 的 内 容 当 中 ， 我 们 要 


\ 几 记 z 


192.168.100.0/24 这 个 网 域 的 gateway 是 192.168.1.100， 且 是 透 过 eth0 
到 写 


法 就 会 变 成 : 

[root@routera ~]# vim /etc/sysconfig/network-scripts/route-eth0 
192.168.100.0/24 via 192.168.1.100 dev eth0 

目标 网 域 透 过 的 gateway 闭 置 

[root@routera ~]# route -n 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

120.114.142.0 0.0.0.0 255.255.255.0U00 

0 eth1 

192.168.100.0 192.168.1.100 255.255.255.0 UG 0 0 
0 eth0O 

192.168.1.0 0.0.0.0 255.255.255.0U00 


0 eth0 


169.254.0.0 0.0.0.0 255.255.0.0U00 
0 ethl 

0.0.0.0 120.114.142.254 0.0.0.0 UG 00 
0 eth1 


上 述 观 察 的 重点 在 于 有 没有 出 现 192.168.100.0 那 行路 由 ! 如 果 有 的 


话 ， 请 ping 
192.168.100.10 看 看 能 不 能 有 回应 ? 然后 再 到 clientlinux 上 面 去 ping 


192.168.1.254 看 看 有 没有 响应 ， 你 束 知 道 设 定 成 功 踊 ! 好 了 ， 既 然 内 
部 保护 网 络 已 经 


可 以 连 上 Internet 了 ， 那 么 是 否 代 表 clientlinux 可 以 直接 与 一 般 员 工 的 
网 域 ， 例 


如 workstation 进行 联机 呢 ? 我 们 依旧 透 过 路 由 规则 来 探讨 一 下 ， 当 


clientlinux 要 


直接 联机 到 workstation 时 ， 他 的 联机 方 同 是 这 样 的 (参考 图 8.2-1) : 


net.giang@hotmail.com 
联机 发 起 : dlientlinux --> Linux Router (OK) --> workstation (OK) 


0 回应 联机 : ”workstation (联机 目标 为 192.168.100.10， 因 为 并 没有 该 
路 


由 规则 ， 因 此 联机 丢 给 default gateway， 亦 即 是 Router A) --> Router A 
(OK) 


--> Linux Router (OK) --> clientlinux 


有 没有 发 现 一 个 很 可 爱 的 传输 流程 ? 联机 发 起 是 没有 问题 啦 ， 不 
呢 ， 啊 应 联机 竞 


ei 


然 会 偷偷 透 过 Router A 来 帮忙 哟 ! 这 是 因为 workstation 与 当初 的 
Router A 一 样 ， 


并 不 知道 192.168.100.0/24 在 192.168.1.100 里 面 啦 ! 不 过 ,反正 
Router A 已 经 


知道 了 该 网 域 在 Linux Router 内 ， 所 以 ， 该 封包 还 是 可 以 顺利 的 回 到 


clientlinux 整 
是 了 
让 workstation 与 clientlinux 不 透 过 Router A 的 沟通 方式 


如 果 你 不 想 要 让 workstation 得 要 透 过 Router A 才能 够 联机 到 


clientlinux 


的 话 ， 那 么 就 得 要 与 Router A 相同 ， 增 加 那 一 条 路 由 规则 嘿 ! 如 果 是 
Linux 的 系统 ， 


那么 如 同 Router A 一 样 的 设 定 如 下 : 

[root@workstation ~]# vim /etc/sysconfig/network-scripts/route-eth0 
192.168.100.0/24 via 192.168.1.100 dev eth0 

[root@workstation ~]# /etc/init.d/network restart 

[root@wWwww ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref Use 

Iface 

192.168.1.0 0.0.0.0 255.255.255.0U000 


eth0 


192.168.100.0 192.168.1.100 255.255.255.0 UG 0 00 
eth0 

169.254.0.0 0.0.0.0 255.255.0.0U000 

eth0 

0.0.0.0 192.168.1.254 0.0.0.0 UG 000 

eth0 


最 后 只 要 clientlinux 使 用 ping 可 以 连 到 workstation， 同 样 的 ， 


workstation 也 


可 以 ping 到 clientlinux 的 话 ， 束 表示 你 的 设 定 是 OK 的 啦 ! 搞定 ! 而 
透 过 这 样 的 

设 定 方 式 ， 你 也 可 以 发 现 到 一 件 事 ， 那 就 是 『 路 由 是 双 同 的， 你 必 
须要 了 人 解 出 去 的 路 


由 与 回来 时 的 规则 4 。 举例 来 说 ， 在 预 设 的 情况 下 (Router A 与 


workstation 都 没 


有 额外 的 路 由 设 定时 )， 其 实 封 包 是 可 以 由 clientlinux 联机 到 


workstation 的 ， 但 


是 workstation 却 没有 相关 的 路 由 可 以 响应 到 clientlinux 一 所 以 上 头 才 
会 要 你 在 


Router A 或 者 是 workstation 上 面 设 定额 外 的 路 由 规则 啊 ! 这 样 阅 ， 腑 
了 吧 ? 人 人 
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0 


用 Linux 作 一 个 静态 路 由 的 Router 很 简单 吧 ! 以 上 面 的 案例 来 说 ， 你 
在 Linux 


Router 上 面 儿 乎 没有 作 什 么 额外 的 工作 ， 只 要 将 网 络 IP 与 网 络 接口 对 
应 好 局 动 ， 然 


后 加 上 IP Forward 的 功能 ， 让 你 的 Linux 核心 支持 封包 转 递 ， 然 后 其 
他 的 工作 咱们 


的 Linux kernel 就 主动 帮 你 搞定 了 ! 真是 好 人 简单 ! 


不 过 这 里 必须 要 提醒 的 是 ， 如 果 你 的 Linux Router 有 设 定 防火 墙 的 
话 ， 而 且 还 


有 设 定 类 似 NAT 主机 的 IP 伪装 技术 ， 那 可 得 特别 留意 ， 因 为 还 可 能 
会 造成 路 由 误 关 


的 问题 一 上述 的 Linux Router 当中 『 并 没有 使 用 到 任何 NAT 的 功 
能 4 喔 ! 特别 给 他 


留意 到 


8.3 动 态 路 由 絮 架 设 : quagga (zebra + ripd) 


在 一 般 的 静态 路 由 右上 面 ， 我 们 可 以 透 过 修改 路 由 配置 文件 (route- 
ethN) 来 设 定 


好 既定 的 路 由 规则 ， 让 你 的 路 由 紫 运 作 顺 利 。 不 过 ， 这 样 的 方法 总 十 
觉得 很 讨厌 ! 如 


果 某 天 因为 组 织 的 再 造 导 致 需要 重新 规划 子 网 网 段 ， 如 此 一 来 ， 你 就 
得 要 在 图 8.2-1 的 


Router A 与 Linux Router 再 次 的 处 理 与 检查 路 由 规则 ， 真 是 有 够 麻烦 
的 一 那 能 不 能 


让 路 由 融 目 己 学习 新 的 路 由 ， 来 达成 目 动 增 加 该 笔 路 由 的 信息 呢 ? 


上 述 的 功能 殉 是 所 谓 的 动态 路 由 。 动 态 路 由 通常 征用 在 路 由 硕 与 路 由 
研 之 间 的 沟通 ， 


所 以 要 让 你 的 路 由 器 具有 动态 路 由 的 功能 ， 你 必须 要 了 解 到 对 方 路 由 
絮 上 面 所 提供 的 


动态 路 由 协议 才 行 ， 这 样 两 部 路 由 絮 才 能 够 透 过 该 协议 来 沟通 彼此 的 
路 由 规则 。 目前 


常见 的 动态 路 由 协议 有 : RIPv1, RIPv2, OSPF, BGP 等 。 


想 要 在 CentOS 上 面 搞定 这 些 动态 路 由 的 相关 机 制 ， 那 就 得 要 使 用 
quagga 这 个 软 


件 啦 ! 这 个 软件 是 zebra 计划 的 延伸 ， 相关 的 官网 说 明 可 以 参考 文 后 
的 参考 数据 ( 注 


3)。 既 然 要 玩 quagga ， 目 然 束 得 要 先 安装 他 哆 ! 赶紧 处 理 吧 ! 
[root@www ~]# yum install quagga 

[root@www ~]# 1s -] /etc/quagga 

-TW-T--T--. 1 root root 406 Jun 25 20:19 ripd.conf.sample 

-TW-T-----. 1 quagga quagga 26 Jul 22 11:11 zebra.conf 

-TW-T--T--. 1 root root 369 Jun 25 20:19 zebra.conf.sample 

ee (其 他 省 上 略 ).…. 


这 个 软件 所 提供 的 各 项 动态 路 由 协议 都 放置 到 /etc/quagga/ 目 孙 内 ， 展 
下 我 们 以 较为 


简单 的 RIPV2 协议 来 处 理 动 态 路 由 ， 不 过 你 得 要 注意 的 是 ， 不 论 你 要 
局 动 什么 动态 路 


由 协议 ， 那 个 zebra 都 必须 要 先 局 动 才 行 ! 这 是 因为 : 


D zebra 这 个 daemon 的 功能 在 更 新 核心 的 路 由 规则 ; 


RIP 这 个 daemon 则 是 在 回 附 近 的 其 他 Router 沟通 协调 路 由 规则 的 
专 达 


与 否 。 
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IP1: 192.168.1.200/24 IPl: 192.,168.1.100/24 
IP2: 192.168.200.254/24 IP2: 192.168.100.254/24 


Default gateway: 192.168.1.254 Default gateway: 192.168.1.254 


PC Zl PC Z1 


如 上 表 我 们 可 以 发 现 zebra 这 个 服务 是 有 设 定好 了 ， 不 过 ripd 的 档 名 
却 不 是 .conf 


结尾 。 所 以 我 们 必须 要 和 额外 作 些 设 定 才 行 。 


为 了 练习 一 下 我 们 的 quagga ， 当 然 得 要 设计 一 下 可 能 的 网 络 联机 哆 一 
假设 网 络 联 


机 的 图 标 如 下 ， 共 有 三 个 区 网 的 网 段 ， 其 中 最 大 的 是 192.168.1.0/24 
这 个 外 部 区 网 ， 


另 有 两 个 内 部 区 网 分 别 是 192.168.100.0/24 及 192.168.200.0/24 。 
图 8.3-1、 练 习 动态 路 由 所 设 定 的 网 络 联机 示意 图 
上 图 的 两 部 Linux Router 分 别 负责 不 同 的 网 域 ， 其 中 Router Z1 是 上 个 


小 节 设 


定好 之 后 就 保留 的 ， 左 边 的 Router Z2 则 是 需要 额外 设 定 的 路 由 器 
喔 ! 两 部 Router 可 


以 透 过 192.168.1.0/24 这 个 网 域 来 沟通 。 在 没有 设 定 额外 路 由 规则 的 情 
况 下 ， 那 个 PC 


Z1 与 PC Z2 是 无 法 沟通 的 ! 另外 ，quagga 必须 要 同时 安装 在 两 部 


Linux Router 上 


头 才 行 ， 而 且 我 们 只 要 设 定好 这 两 部 主机 的 网 络 接口 (etho, eth1) 后 ， 
不 需要 手动 


输入 额外 的 路 由 设 定 喔 ! 可 以 透 过 RIP 这 个 路 由 协议 来 搞定 的 ! 
0 
1. 将 所 有 主机 的 IP 设 定 妥 当 : 


这 是 最 重要 的 吧 ? 请 将 这 四 部 主机 (Router Z1, Router Z2, PC Z1, PC 
Z2) 的 


网 络 参数 ， 按 照 图 8.3-1 的 模样 设置 妥当 。 设置 的 方式 请 参考 本 章 上 
一 小 节 ， 

或 者 是 依据 第 四 章 的 4.2.1 来 设 定 哆 ， 这 里 不 再 重复 说 明了 。 另外 ， 
在 Router 


Z1, Z2 的 部 分 还 得 要 加 上 修改 ip_forwrad 参数 ! 亦 即 是 /etc/sysctl.conf 


的 设 定 值 喔 ! 这 个 乌 哥 也 常 肖 态 记 @_@。 
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2. 在 两 部 Router 上 面 设 定 zebra : 


我 们 先 设 定 图 8.3-1 右手 边 那 一 部 Router Z1， 关 于 zebra.conf 你 可 以 
这 性 


设 定 的 : 


#1. 先 设 定 会 影响 动态 路 由 服务 的 zebra 并 且 启 动 zebra 


[root@www ~]#vim /etc/quagga/zebra.conf 

hostname www.centos.vbird <== 给 予 这 个 路 由 恬 一 个 主机 名 ， 随 
便 取 ! 

password linuxz1 <== 给 予 一 个 密码 ! 

enable password linuxz1 <== 将 这 个 密码 生效 |! 

log file /var/log/quagga/zebra.log <== 将 所 有 zebra 产生 的 信息 存 到 登 
未 光 让 中 

[root@www ~]# /etc/init.d/zebra start 

[root@www ~]# chkcontig zebra on 

[root@www ~]# netstat -tunlp | grep zebra 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/Program name 


tcp 0 0 127.0.0.1:2601 0.0.0.0:* LISTEN 
4409/zebra 


仔细 看 ， 由 于 zebra 这 个 服务 的 任务 主要 是 在 修改 Linux 系统 核心 内 
的 路 由 ， 


所 以 他 仅 监听 本 机 接口 而 已 ， 并 不 会 监听 外 部 的 接口 才 对 ! 另外 ,在 


zebra.conf 


这 个 档案 当中 ， 我 们 所 设 定 的 那个 密码 是 有 作用 的 喔 ! 可 以 让 我 们 登 
入 zebra 


这 均 软 件 呢 ! 好 了 ， 我 们 来 查 一 查 这 个 2601 的 port 是 否 正确 的 局 动 
的 呢 ? 


[root@www ~ ]# telnet localhost 2601 


Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is 和 人 ] . 

Hello, this is Quagga (version 0.99.15). 

Copyright 1996-2005 Kunihiro Ishiguro, et al. 
User Access Verification 

Password: <== 在 这 里 输入 刚刚 你 设 定 的 密码 啊 ! 


www.centos.vbird> ? <== 在 这 边 输 入 『 ?J 就 能 够 知道 有 和 多少 指 令 可 使 
用 
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echo Echo a message back to the vty 


enable Turn on privileged mode command 

exit Exit current mode and down to previous mode 
help Description of the interactive help system 

list Print command list 

quit Exit current mode and down to previous mode 
show Show running system information 

terminal Set terminal line parameters 

who Display who is on vty 

www.centos.vbird> list <== 列 出 所 有 可 用 指令 
echo .MESSAGE 

…( 中 间 省 略 )..… 

show debugging zebra 

show history 

show interface [IFNAME|] 

eC 

show ip protocol 

show ip route 

…( 其 他 省 略 )..… 

www.centos.vbird> show ip route 


Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPE, 


TI-ISIS,B-BGP > - selected route, * - FIB route 


K>* 0.0.0.0/0 via 192.168.1.254, eth0 <== 核 心 直 接 设 定 的 

C>* 127.0.0.0/8 is directly connected, lo <== 接 口 产 生 的 路 由 

K>* 169.254.0.0/16 is directly connected, ethl <== 核 心 直 接 设 定 的 
C>* 192.168.1.0/24 is directly connected, eth0 <== 接 口 产 生 的 路 由 
C>* 192.168.100.0/24 is directly connected, eth1 <== 接 口 产生 的 路 由 
www.centos.vbird> exit 


Connection closed by foreign host. 


仔细 看 到 ， 我 们 登入 这 个 zebra 的 服务 之 后 ， 可 以 输入 『helpJ 或 问号 
FT?] ， 


zebra 忠 会 显示 出 你 能 够 执行 的 指令 有 哪些 ， 比 较 第 用 的 当然 是 查询 路 
由 规则 哆 ! 


以 『 show ip route 4 来 查阅 ， 结 果 可 以 发 现 目前 的 接口 与 默认 路 由 都 
被 显示 


出 来 了 ， 显 示 的 结 采 当中 : 

o K : 代表 以 类 似 route 指令 加 入 核心 的 路 由 规则 ， 包 括 route-ethN 
所 产生 的 规则 ; 

oC: 代表 由 你 的 网 络 接口 所 设 定 的 IP 而 产生 的 相关 的 路 由 规则 

o S : 以 zebra 功能 所 设 定 的 静态 路 由 信息 ; 

0 R : 就 是 透 过 RIP 协议 所 增加 的 路 由 规则 哎 ! 


事实 上 ， 如 有 果 你 还 想 要 增加 额外 的 静态 路 由 的 话 ， 也 可 以 透 过 zebra 
而 不 必 使 
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用 route 指令 呢 ! 例如 想 要 增加 10.0.0.0/24 给 eth0 来 处 理 的 话 ， 可 以 
这 


样 做 : 

[root@www ~]#vim /etc/quagga/zebra.conf 

# 新 增 底下 这 一 行 喔 ! 

ip route 10.0.0.0/24 eth0 

[root@Owww ~]# /etc/init.d/zebra restart 
[root@www ~]# telnet localhost 2601 
Password: <== 这 里 输入 密码 
www.centos.vbird> show ip route 

K>* 0.0.0.0/0 via 192.168.1.254, eth0 

S>* 10.0.0.0/24 [1/0] is directly connected, eth0 
C>* 127.0.0.0/8 is directly connected, lo 

K>* 169.254.0.0/16 is directly connected, eth1 
C>* 192.168.1.0/24 is directly connected, eth0 
C>* 192.168.100.0/24 is directly connected, eth1 


嘿嘿 ! 立刻 束 会 多 出 一 笔 路 由 的 规则 ， 而 且 最 右边 会 显示 S， 汞 即 走 
静态 路 由 


(Static route) 的 意思 。 如 此 一 来 ， 我 们 系统 管理 员 可 就 轻松 多 了 ! 设 
定 完 右 


边 Router Z1 的 zebra 之 后 ， 不 要 访 记 设 定 你 的 Router Z2 哟 ! 同样 的 


\ 几 上 2z 


再 来 一 般 啦 ! 只 是 主机 名 与 密码 应 该 给 予 不 同 才 是 哟 ! 因为 过 程 都 一 
样 ， 马 哥 驶 


不 再 重复 设 定 。 接 下 来 我 们 可 以 开始 看 看 ripd 这 个 服务 鹃 
时 
3. 在 两 部 Router 上 面 设 定 ripd 服务 : 


ripd 这 个 服务 可 以 在 两 部 Router 之 间 进 行路 由 规则 的 交换 与 沟通 ， 当 
然 啦 ， 


如 果 你 的 环境 里 面 有 类 似 Cisco 或 者 是 其 他 有 提供 RIP 协议 的 路 由 颖 
的 话 ， 那 


么 你 当然 也 是 可 以 透 过 这 个 RIP 让 你 的 Linux Router 与 其 他 硬件 路 由 
超 互 相 


沟通 的 呐 ! 只 不 过 CentOS 6.x 的 quagga 所 提供 的 ripd 服务 使 用 的 是 
RIPv2 版 本 ， 这 个 版 本 预 设 束 要求 得 要 进行 映 份 验 证 的 动作 ， 但 是 我 


们 十 个 小 


型 网 络 ， 并 不 想 要 加 入 这 个 号 份 验证 的 功能 ， 因 此 就 得 要 增加 某 些 设 
定 值 才能 够 


顺利 的 启动 ripd 哆 ! 


先 来 设 定 Router Z1 吧 ! 在 Router Z1 当中 ， 我 们 主要 是 透 过 eth0 发 送 
所 有 


的 网 域 路 由 信息 ， 同 时 ， 我 们 管理 的 网 域 有 192.168.1.0/24， 
192.168.100.0/24。 


再 加 上 取消 身份 验证 的 设 定 值 后 ， 我 们 的 ripd 融会 变 成 这 样 : 


[root@www ~]# vim /etc/quagga/ripd.conf 

hostname www.centos.vbird <== 这 里 是 设 定 Router 的 主机 名 而 
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局 

password linuxz1 <== 设 定好 你 自己 的 密码 喔 |! 

debug rip events <== 可 以 记录 较 多 的 错误 讯 娠 ! 

debug rip packet <== 鸟 如 透 过 这 个 讯 垦 解决 很 多 问题 
router rip <== 局 动 Router 的 rip 功能 

version 2 <== 启 动 的 是 RIPv2 的 服务 (默认 

值 ) 

network 192.168.1.0/24 <== 这 两 个 就 是 我 们 管理 的 接口 嗓 ! 
network 192.168.100.0/24 

interface eth0 <== 针 对 外 部 的 那个 接口 ， 要 略 过 寻 

份 验证 的 方式 


no ip rip authentication mode <== 束 是 这 个 项 目 ! 不 要 验证 号 份 ! 


log file /var/log/quagga/zebra.log <== 登 好 档 设 定 与 zebra 相同 即 可 


[root@www ~]# /etc/init.d/ripd start 
[root@www ~]# chkconfig ripd on 
[root@www ~]# netstat -tulnp | grep ripd 


Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 
name 

tcp 0 0 127.0.0.1:2602 0.0.0.0:* LISTEN 4456/ripd 

udp 0 0 0.0.0.0:520 0.0.0.0:* 

4456/ripd 


# 新 版 的 quagga 启动 的 2602 仅 在 127.0.0.1， 是 透 过 port 520 来 传递 信 


息 | 


基本 上 ， 这 样 束 设 定 完 成 一 部 路 由 器 的 RIP 动态 路 由 协议 了 ! 在 上 头 


ripd.conf 

的 设 定 当 中 ， 他 会 主动 以 eth0 及 192.168.1.0/24 这 个 网 域 的 功能 来 进 
索 ， 如 此 一 来 ， 未 来 你 进行 任何 路 由 规则 的 变动 ， 或 者 是 整个 网 域 的 
主机 IP 进 


行 更 动 ， 你 将 不 需要 重新 到 每 部 Router 上 更 动 ! 因为 这 些 路 由 老 会 目 
动 的 更 


新 他 们 目 己 的 规则 喔 ! 嘿嘿 ! 接 下 来 ， 同 样 的 动作 请 你 到 图 8.3-1 左 
边 那 部 


Router Z2 上 面 设 定 一 下 ! 因为 整个 设 定 的 流程 都 一 样 ， 所 以 这 里 旬 
哥 就 省 略 


啦 ! 
0 


4. 检查 RIP 协议 的 沟通 结果 : 


在 两 部 Linux Router 都 设 定 妥 当 之 后 ， 你 可 以 登入 zebra 去 看 这 两 部 主 
机 的 


路 由 更 新 结 采 喔 ! 
后; 天 


且 登 入 zebra ， 观察 路 由 会 是 这 样 的 情况 : 


右边 那 部 Router Z1 
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[root@www ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.100.0 0.0.0.0 255.255.255.0U00 

0 eth1 

10.0.0.0 0.0.0.0 255.255.255.0U00 

0 eth0O 

192.168.1.0 0.0.0.0 255.255.255.0U00 

0 eth0O 

192.168.200.0 192.168.1.200 255.255.255.0 UG 2 0 
0 eth0O 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 


0 eth0 


# 其 实 看 路 由 就 知 道 啦 ! 那 条 有 点 线 的 了 吏 是 新 增 的 路 由 规则 ! 很 清 


楚 | 


[root@www ~]# telnet localhost 2601 


Password: <== 不 要 环 记 了 密码 啊 ! 


www.centos.vbird> show ip route 

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPE, 
1 -1SIS, B - BGP, > - selected route, * - FIB route 

K>* 0.0.0.0/0 via 192.168.1.254, eth0 

S>* 10.0.0.0/24 [1/0] is directly connected, eth0 

C>* 127.0.0.0/8 is directly connected, lo 

K>* 169.254.0.0/16 is directly connected, eth1 

C>* 192.168.1.0/24 is directly connected, eth0 

C>* 192.168.100.0/24 is directly connected, eth1 

R>* 192.168.200.0/24 [120/2] via 192.168.1.200, eth0, 00:02:43 


如 琳 你 有 看 到 上 述 的 字体 ， 哩 嘿 ! 那 束 是 成 功 啦 ! 那个 最 左边 的 R 代 
表 的 是 透 


过 RIP 通讯 协议 所 设 定 的 路 由 规则 啦 ! 如 此 一 来 ， 虽 们 的 路 由 器 设 定 
就 搞定 


哆 一 如 果 一 切 都 没有 问题 ， 你 也 想 要 开机 束 局 动 zebra, ripd， 那 么 还 得 
要 这 样 : 


[root@www ~]# chkcontig zebra on 


[root@www ~]# chkconfig ripd on 


透 过 这 个 guagga 以 及 RIPV2 的 路 由 协议 的 辅助 ， 我 们 可 以 轻松 的 束 将 
路 由 规则 分 至 


到 附近 区 网 的 其 他 路 由 器 上 头 ， 比 起 单纯 使 用 route 去 修改 Linux 的 
核心 路 由 表 ， 


这 个 动作 当然 要 快速 很 多 ! 不 过 ， 如 果 是 很 小 型 的 网 络 环境 ， 那 么 不 
要 使 用 这 个 quagga 


啊 ! 因为 有 点 多 此 一 举 的 感觉 。 如 果 你 的 企业 环境 真 的 有 人 够 大 ， 那 么 
玩 一 玩 这 个 quagga 


配合 一 些 动 态 路 由 协议 ， 嘿 咖 ! 也 是 可 行 的 啦 ! 
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Gatewaa': 192.168,1.254/24 


计 部 eth0 
192.168.1.100/24 


内 部 eth0 
192,168.1.200,24 


PE 


IP: 192.168.1.101 


PC4 
192,168,1,10 192.168.1.20 192.168,1,30 
Default gateway: 192.168.1.254 


Tips: 


鸟 哥 差 一 点 被 这 一 版 的 ripd.conf 设 定 内 容 搞 死 一 因为 CentOS 
5.x 以 后 的 版 本 预 设 的 RIPv2 会 去 进行 身份 验证 ， 所 以 原先 在 
CentOS 4.x 的 设 定 是 不 能 用 的 ， 偏 偏 登录 档 又 看 不 出 个 所 以 然 .. 
后 来 查 到 可 以 透 过 ripd.conf 内 的 debug 参数 去 设 定 除 错 登 录 ， 
才 发 现 RIPV2 的 认证 问题 ! 最 终 google 一 下 才 解 决 问题 一 好 累 
啊 ! 

8.4 特殊 状况 : 路 由 需 两 边界 面 是 同一 个 卫 网 段 : ARP Proxy 
如 果 你 一 开始 设计 的 网 络 环境 就 是 同一 个 Class C 的 网 域 ， 例 如 


192.168.1.0/24 ， 后 来 因为 某 些 因素 必须 要 将 某 些 主机 搬 到 比较 内 部 的 
环境 中 ， 例 如 


岁 8.2-1 的 ] clientlinxu, winxp, win7。 然后 又 因为 某 些 因 素 ， 所 以 你 不 
能 这 宪 这 


些 计 算 机 的 IP， 此 时 你 的 同一 网 域 束 会 横 跨 在 一 个 路 由 句 的 左右 两 边 
了 ! 举例 来 说 ， 


联机 图 示 有 点 像 底下 这 样 : 
图 8.4-1、 在 路 由 硕 两 个 界面 两 边 的 卫 是 在 同一 个 网 域 的 设 定 情况 


初次 见面 ~ 看 到 眼睛 快要 揉 下 来 哩 ! 怎么 路 由 需 的 两 边 的 主机 IP 设 定 
都 在 同一 个 


网 域内 ? 而 且 还 被 规定 不 能 够 更 改 原 移 的 卫 设 定 ，… 真 是 一 个 头 两 个 
大 啊 一 如 此 一 


来 ， 在 Linux Router 两 边 要 如 何 制作 路 由 啊 ? 好 问题 ! 真是 好 问题 ~ 
因为 OSI 第 三 


层 网 络 层 的 路 由 是 一 条 一 条 去 设 定 比 对 的 ， 所 以 如 果 两 块 网 卡 上 面 都 
征 同 一 个 网 域 的 


IP 时 ， 就 会 发 生 错误 。 那 如 何 处 理 啊 ? 
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第 一 步 : 
我 传 出 的 封包 目标 是 
PC2 ' 群 是 PC2 啊 ? 
跟 我 同和 网 睹 的 ? 


外 部 eth0 诉 : 
是 我 是 我 ! 你 的 资料 


透 近 路 由 设 定 : 将 
持 包 力 由 内 部 卫 
依 到 工 确 的 PC 上 


外 部 eth0 褒 : 
是 正 兢 的 移 段 ， 交 给 
我 处 理 ! 


NA imhzxl 居 odter 
内 部 ethl 褒 伍 
没 错 没 错 ! 二 两 个 
P 也 在 我 的 ethl 
面 网 ! 


第 一 步 ; 
我 傅 出 的 封包 目标 是 
PCl 或 router A， 


Linux router 炳 烙 我 cs 


PC 2 PC 3 PC 4 


我 们 先 从 两 方面 来 说 ， 第 一 个 ， 当 从 正确 的 网 段 (PC1) 要 联机 到 
PC2~PC4 时， 他 


应 该 是 要 透 过 Linux Router 那 部 主机 的 对 外 IP (192.168.1.100) 才 行 ! 

而 且 Linux 

Ronuter 还 必须 要 让 该 封包 透 过 内 部 IP (192.168.1.200) 联机 到 PC2~PC4 
。 此 时 ， 


封包 传递 的 图 示 有 点 像 这 样 : 
8.4-2、 正 第 的 网 段 想 要 传送 到 内 部 计算 机 去 的 封包 流 回 


在 这 个 阶段 ， 我 们 可 以 设 定 PC2~PC4 的 卫 所 对 应 的 网 卡 卡号 (MAC) 
都 设 定 在 


router 的 对 外 网 卡 上 ， 因此 ，router 的 对 外 接口 可 以 将 给 PC2~PC4 的 
封包 给 『 骗 J 


过 来 。 接 下 来 ， 就 简单 的 透 过 路 由 设 定 ， 让 封包 转 个 接口 发 送出 去 即 
可 。 这样 PC1 --> 


PC2 的 问题 解决 了 ， 但 是 PC2 怎么 传送 到 PC1 呢 ? 我 们 可 以 透 过 底下 
的 图 示 来 想象 一 


下 : 
8.4-3、 内 部 计算 机 想 要 传送 到 正常 网 域 时 的 封包 流 癌 
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当 PC2 要 传送 的 封包 是 给 PC3, PC4 的 ， 那 么 这 个 封包 得 要 能 够 直接 
传递 。 但 是 


如 果 需 要 传送 到 正 利 网 域 的 封包 ， 殉 得 要 透 过 router 的 对 内 网 卡 ， 再 
透 过 路 由 规则 来 


将 该 封包 导向 外 部 接口 来 传递 才 行 ! 这 个 时 候 就 变 成 内 部 的 接口 欺骗 
PC2 说 ， PC1 与 


Router A 的 IP 是 在 内 部 这 张 接 口上 束 是 了 ， 人 然后 再 透 过 路 由 判断 将 该 
封包 透 过 外 部 


接口 来 对 外 传递 出 去 即 可 。 假设 Linux router 的 对 外 界面 为 eth0 而 对 
内 为 eth1l 


时 ， 我 们 可 以 这 样 说 : 


1. 当 Linux Router 的 eth0 那个 网 域 主机 想 要 连接 到 PC2~PC4 的 主机 
时 ， 


由 Linux Router 负责 接收 ; 

2. 当 Linux Router 要 传送 数据 到 PC2~PC4 时 ， 务 必要 由 ethl 来 传 
送 ; 

3. 当 内 部 计算 机 想 要 连接 到 PC1 或 Router A 时 ， 由 Linux router 的 
eth1 

负责 接收 ; 


4. 当 Linux Router 要 传送 的 数据 为 192.168.1.0/24 ， 但 并 非 PC2~PC4 
时 ， 


需 由 eth0 传送 。 


上 列 的 步骤 与 图 示 内 的 线条 上 的 顺序 相符 合 哟 ! 得 要 对 照 着 看 看 。 其 
中 的 (D) 与 

(3) 束 是 透 过 ARP Proxy (代理 ) 的 功能 啦 ! 那 啥 是 ARP Proxy 呢 ? 简 

单 的 说 ， 束 是 

让 我 的 某 张 适 配 卡 的 MAC 代理 其 他 主机 的 IP 对 应 ， 让 想 要 连接 到 这 
个 PP 的 MAC 封 


包 由 我 帮 他 接 下 来 的 意思 。 举 我 们 图 8.4-1 的 例子 来 说 ， 就 是 在 Linux 
Ronuter 的 


eth0 接口 上 ， 规 定 192.168.1.10, 192.168.1.20, 192.168.1.30 这 三 个 IP 
都 对 应 


到 eth0 的 MAC 上 ， 所 以 三 个 IP 的 封包 就 会 由 eth0 代为 收 下 ， 因 此 
才 叫 做 ARP 代 


理 人 嘛 ! 所 以 啦 ， 每 一 部 在 eth0 那 剖 的 主机 都 会 『 广 判 ] 那 三 个 IP 


是 Linux Router 


所 拥有 ， 这 样 束 能 够 让 封包 传 给 Linux Router 啦 ! 
再 接 下 来 ， 趾 们 的 Linux Router 必须 要 额外 指定 路 由 ， 设 定 情 况 为 : 


DD 奇 目 标 是 PC2 ~ PC4 时 ， 该 路 由 必须 要 由 内 部 的 ethl 发 送出 去 才 
行 ， 


口 若 目 标 不 为 PC2~PC4 ， 且 目标 在 192.168.1.0/24 的 网 域 时 ， 需 由 
eth0 


发 送出 去 才 行 。 


也 就 是 说 ， 你 必须 要 指定 路 由 规则 当中 ， 那 个 PC2~PC4 具有 优先 选择 
权 ， 然 后 其 


他 的 同 网 域 封包 才 由 eth0 来 传送 。 这 样 束 能 够 达成 我 们 所 想 要 的 结局 
啦 ! 和 入! 看 样 


子 似乎 很 难 ， 其 实 设 定 方面 还 挺 简单 的 ， 你 可 以 透 过 arp 以 及 route 这 
两 个 指令 来 达 


成 喔 ! 


0D 外 部 接口 eth0: 08:00:27:71:85:BD 


0 内 部 接口 eth1: 08:00:27:2A:30:14 

#1. 先 设 定 外 部 eth0 的 ARP Proxy， 让 三 个 卫 对 应 到 自己 的 MAC 
[root@www ~]# arp -ieth0 -s 192.168.1.10 08:00:27:71:85:BD pub 
[root@www ~]# arp -ieth0 -s 192.168.1.20 08:00:27:71:85:BD pub 
[root@www ~]# arp -ieth0 -s 192.168.1.30 08:00:27:71:85:BD pub 
[root@www ~]# arp -n 


Address HWtype HWaddress Flags Mask Iface 
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192.168.1.30 * * MP eth0 
192.168.1.10 * * MP eth0 
192.168.1.20 * * MP eth0 


# 首先 需要 让 外 部 接口 拥有 三 个 IP 的 操控 权 ， 透 过 这 三 个 指令 来 建立 
ARP 


对 应 ! 

#2. 开始 处 理 路 由 ， 增 加 PC2~PC4 的 单机 路 由 经 过 内 部 的 eth1 来 传递 
[rootOwww ~]# route add -host 192.168.1.10 eth1 
[root@wWwww ~]# route add -host 192.168.1.20 eth1 
[root@wWwww ~]# route add -host 192.168.1.30 eth1 
[root@wWwww ~]# route -n 

Kernel IP routing table 

Destination Gateway Genmask Flags Metric Ref 
Use Iface 

192.168.1.20 0.0.0.0 255.255.255.255 UH 0 0 

0 eth1 

192.168.1.10 0.0.0.0 255.255.255.255 UH 0 0 

0 eth1 


192.168.1.30 0.0.0.0 255.255.255.255 UH 0 0 


0 eth1l 

192.168.1.0 0.0.0.0 255.255.255.0U 0 0 
0 eth0 

192.168.1.0 0.0.0.0 255.255.255.0U 0 0 
0 eth1l 

0.0.0.0 192.168.1.254 0.0.0.0 UG 00 

0 eth0 

# 这 样 束 处 理 好 单 癌 的 单机 路 由 鹃 | 
不 过 有 个 问题 啊 ! 

那 就 是 192.168.1.0/24 


# 的 网 域 ， 两 个 接口 都 可 以 传送 ! 因此 ， 等 一 下 第 四 个 步骤 得 要 将 
ethl 删除 


可 行 | 
3. 设 定 一 下 内 部 的 ARP Proxy 工作 ( 绑 在 ethl 上 头 吗 )! 


[root@www ~]# arp -i eth1 -s 192.168.1.101 08:00:27:2A:30:14 pub 


[root@www ~]# arp -i eth1 -s 192.168.1.254 08:00:27:2A:30:14 pub 


# 这 样 可 以 骗 过 PC2 ~ PC4 ， 让 这 三 部 主机 传递 的 封包 可 以 透 过 router 
来 


传递 
4. 开始 清除 掉 ethl 的 192.168.1.0/24 路 由 


[root@www ~]# route del -net 192.168.1.0 netmask 255.255.255.0 eth1l 


所 有 的 计算 机 都 在 同一 个 网 域内 ， 因 此 default gatway 都 是 
192.168.1.254 ， 而 


netmask 都 是 255.255.255.0， 只 有 IP 不 一 样 而 已 。 最 后 ， 所 有 的 计算 
机 都 可 以 直 


接 跟 对 方 联机 ， 也 能 够 顺利 的 连 上 Internet ! 这 样 的 设 定 就 能 够 满足 
上 述 的 功能 需 


求 嗓 ! 如 果 一 切 都 没有 问题 ， 那 么 将 上 述 的 指令 写成 一 个 脚本 档 ， 例 
如 
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0 
0 


/root/bin/network.sh ， 然 后 将 该 档案 设 定 为 可 执行 ， 并 将 它 写 入 


/etc/rc.d/rc.local ， 同 时 每 次 重新 启动 网 络 后 ， 束 得 要 重新 执行 一 次 该 
脚本 ， 即 可 


达到 你 的 需求 嗓 ! 


透 过 这 个 案例 你 也 可 以 清末 的 知道 ， 能 不 能 联机 其 实 与 路 由 的 关系 才 
大 哩 ! 而 路 


由 是 双 辐 的 ， 你 必须 要 考虑 到 这 个 封包 如 何 回 来 的 问题 喔 ! 
8.5 重点 回顾 


0 网 络 卡 的 代号 为 eth0, eth1, eth2...， 而 第 一 张 网 络 卡 的 第 一 个 虚拟 接 
口 


为 eth0:0... 


0D 网 络 卡 的 参数 可 使 用 ifconfig 直接 设 定 ， 亦 可 使 用 配置 文件 如 
/etc/sysconfig/network-scripts/ifcfg-ethn 来 设 定 ; 


D 路 由 是 双 同 的 ， 所 以 由 网 络 封包 发 送 处 发 送 到 目标 的 路 由 规划 ， 必 


钠 ji 

回程 时 是 否 具 有 相对 的 路 由 ， 否则 该 封包 可 能 会 了 损失 J ; 

DD 每 部 主机 都 有 目 己 的 路 由 表 ， 此 路 由 表 (routing table) 是 作为 封包 传 
闫 


时 的 路 径 依据 ; 
0 每 部 可 对 外 Internet 传送 封包 的 主机 ， 其 路 由 信息 中 应 有 一 个 预 设 路 
由 


(default gateway); 
DD 要 让 Linux 作为 Router 最 重要 的 是 启动 核心 的 IP Forward 功能 ; 
0 重复 路 由 可 能 会 让 你 的 网 络 封 包 传 递 到 错误 的 方 癌 ; 


0 动态 路 由 通常 是 用 在 两 个 Router 之 间 沟 通 彼此 的 路 由 规则 用 的 ， 常 
见 的 


Linux 上 的 动态 路 由 套件 为 zebra ; 


DU arp proxy 可 以 透 过 arp 与 route 的 功能 ， 让 路 由 器 两 端 都 在 同一 个 网 
段 


内 ; 
0 一 般 来 说 ， 路 由 恬 上 都 会 有 两 个 以 上 的 网 络 接口 
DD 事实 上 ，Router 除了 作为 路 由 转换 之 外 ， 在 Router 上 面 架 设防 火 


墙 ， 亦 


可 在 企业 内 部 再 分 隔 出 多 个 需要 安全 (Security) 的 单位 数据 的 区 隔 ! 
8.6 本 章 习题 


0 在 练习 完 本 章 的 相关 信息 后 ， 证 
样 ! 以 


方便 未 来 后 续 章 世 的 练习 喔 ! 这 个 草 市 的 路 由 右 确 实 是 有 点 碾 烦 的 ! 


和 人 和 
0 请问 你 如 何 将 你 的 eth0 这 个 接口 修改 成 为 192.168.100.2 在 网 域 


192.168.100.0/25 之 内 的 网 络 参数 内 容 ? 


因为 192.168.100.0/25 的 netmask 为 255.255.255.128 ， 所 以 可 以 这 样 
做 : 
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0 


ifconfig eth0 192.168.100.2 netmask 255.255.255.128 up 
这 样 即 可 ! 如 有 果 尚 须 其 他 的 参数 ， 则 需要 以 档案 形式 来 下 达 ， 如 尽 i 
/etc/sysconfig/network-scripts/ifcfg-eth0， 并 修改 为 : 
DEVICE=eth0 
ONBOOT=yes 
BOOTPROTO=static 
IPADDR=192.168.100.2 


NETMASK=255.255.255.128 


NETWORK=192.168.100.0 
BROADCAST=192.168.100.127 


0D 请 手动 设 定 eth0:1 这 个 虚拟 接口 ， 使 成 为 网 络 参数 : 192.168.200.2， 
网 


域 在 192.168.200.0/24。 

ifconfig eth0:1 192.168.200.2 up 

0 如 何 观察 路 由 表 ? 

route -n 即 可 查阅 ! 注意 到 0.0.0.0 那个 目标 (default gateway)。 
如 何 启 动 Linux 的 IP Forward 功能 ? 

直接 以 『echo "1" > /proc/sys/net/ipv4/ip_forward 4 即 可 ! 


假设 你 是 一 个 学 校 单 位 的 信息 管理 员 ， 学 校内 有 200 部 计算 机 ， 奉 
上 面 大 

头 的 旨意 ， 必 须要 将 200 部 计算 机 分 为 4 个 Subnet ， 请 问 你 应 该 如 何 
布线 (请 


画 出 示意 图 )? 而 这 4 个 Subnet 的 网 络 参数 如 何 选择 (请 目 行 选择 )? 而 


日 .下 
是 否 


需要 Router ? 如 果 需 要 的 话 ， 假 设 每 个 Router 仅 能 有 两 个 网 络 实体 接 
口 ， 那 


么 该 如 何 布线 ? ( 注 : 不 要 使 用 虚拟 接口 ) 


0D 假设 你 想 要 连接 到 168.95.1.1 ， 那 么 你 该 如 何 判 断 你 经 过 『 多 少 
"| 


可 以 使 用 traceroute 168.95.1.1 来 分 析 每 个 和 点 的 传送 信息 ， 也 可 以 透 


过 ping 168.95.1.1 所 回 传 的 那个 t 值 判断 节点 数量 。 


0 万 一 你 的 网 络 有 点 停顿 ， 发 现 可 能 是 网 络 上 某 个 节点 出 现 问 题 ， 你 
应 该 如 何 


确认 是 哪 一 部 Router 出 问题 ? 

束 利 用 traceroute 吧 ! 

参考 数据 与 延伸 阅读 
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0 注 1: 网 中 人 写 的 『 带 宽 负 载 平 衡 」: 
http://www.study-area.org/tips/multipath.htm 

0 注 2: 一 些 生产 网 络 硬 设备 的 公司 : 

思科 (Cisco) :_http://www.cisco.com/ 

友 讯 (D-Linl :_http:/www.dlinktw.com.tw/ 

普 联 技术 (TP-Link) :_http:/www.tplink.com.tw/ 
0 注 3: 动态 路 由 染 设 软件 : 

动态 路 由 软件 Quagga: http://www.quagga.net 
动态 路 由 软件 zebra: http:/www.zebra.org 

Ben 哥 写 的 了 实 作 Linux 动态 路 由 J : 

quagga 官方 操作 文件 : http:/www.quagga.net/docs/quagga.pdf 


0 酶 学 园 的 ARP Proxy: 


http://phorum.study-area.org/viewtopic.php?t=5619 


0 酷 学 园 ericshei 的 ARP Proxy 分 享 : 


http://phorum.study-area.org/viewtopic.php?t=22943 


2002/08/09: 第 一 次 完成 日 期 ! 
2003/08/22: 重新 编辑 文章 ， 并 增加 重点 回顾 与 课 后 练习 
2006/08/21: 将 旧 的 文章 移动 到 此 处 。 


2006/08/30: 加 入 了 zebra 以 及 ARP Proxy 等 与 Router 比较 相关 的 议 
已 页 | 
题 ! 


2010/09/23: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2010/10/26: 修订 了 部 分 数据 ， 尤 其 是 ARP 的 说 明 部 分 ! 不 过 ， 重 点 
于 题目 都 还 没有 


更 新 ! 
2011/07/21: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 


2011/07/22: 将 网 域 做 成 统一 的 格式 ， 就 是 用 第 三 章 的 区 网 架构 来 处 理 
的 喔 ! 
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最 近 更 新 日 期 : 2011/07/22 


从 第 七 章 的 图 7.1-1 我 们 可 以 发 现 防 火 墙 是 整个 封包 要 进入 主机 前 的 
第 一 道 关 卡 ， 但 ， 什 么 是 防火 墙 ? 


Linux 的 防火 场 有 哪些 机 制 ” 防火 墙 可 以 达到 与 无 法 达到 的 功能 有 哪 
些 ? 防火 墙 能 不 能 作为 区 域 防 火 


消 而 不 是 仅 针 对 单一 主机 而 已 呢 ? 其 实 ，Linux 的 防火 增 主 要 是 透 
Netfilter 与 TCP Wrappers 两 个 


机 制 来 管理 的 。 其 中 ， 透 过 Netfilter 防火 墙 机 制 ， 我 们 可 以 达到 让 私 
有 了 IP 的 主机 上 网 (IP 分 享 器 


功能 ) ， 并 且 也 能 够 让 Internet 连 到 我 内 部 的 私有 IP 所 架设 的 Linux 服 
务 需 器 (DNAT 功能 )! 真 的 很 


不 赖 喔 ! 这 一 对 对 您 来 说 ， 也 真 的 有 够 重要 的 啦 ! 


9.1 认识 防火 墙 


和 之 前 来 个 提醒 事项 


9.2 TCP Wrappers 
9.2.1 哪些 服务 有 支持 :_ ldd 


9.3.2 封包 进入 流程 ， 规 则 顺序 所 性 ! 
9.3.3 iptables 的 表格 (table) 与 链 (chain) 
9.3.4 本 机 的 iptables 语法 


9.3.4-1 规则 的 观察 与 清除 
9.3.4-2 定义 预 设 政 策 (policy) 


9.3.4-3 封包 的 基础 比 对 ;IP, 网 域 及 装置 ， 信任 装置 , 信任 网 域 


9.3.4-4TCP, UDP 的 规则 比 对 : 针对 埋 口 设 定 
9.3.4-5 iptables 外 挂 模块 :mac 与 state 
9.3.4-6 ICMP 封包 规则 的 比 对 : 针对 是 否 咯 应 ping 来 设计 


9.4.1 规则 香 执 
9.4.2 实际 设 定 
9.5 NAT 服务 器 的 设 定 


9.5.1 什么 是 NAT? SNAT? DNAT? 


9.5.2 最 NAT 服务 器 : IP 分 享 功 能 


9.5.3 iptables 的 额外 核心 模块 功能 
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oO 
9.9 针对 本 文 的 建议 :_http://phorum.vbird.org/viewtopic.php?p=114475 
9.1 认识 防火 墙 


网 络 安全 除了 随时 注意 相关 软件 的 漏洞 以 及 网 络 上 的 安全 通报 之 外 ， 
你 最 好 能 够 依 


据 目 己 的 环境 来 订 定 防火 墙 机 制 ! 这 样 对 于 你 的 网 络 环 境 ， 会 比较 有 
保障 一 点 喔 ! 那 


么 什么 是 防火 墙 呢 ? 其 实 防火 墙 束 是 透 过 订 定 一 些 有 顺序 的 规则 ， 并 
管制 进入 到 我 们 网 


域内 的 主机 (或 者 可 以 说 是 网 域 ) 数据 封包 的 一 种 机 制 ! 更 广义 的 来 
说 ， 只 要 能 够 分 析 


与 过 滤 进 出 我 们 管理 之 网 域 的 封包 数据 ， 就 可 以 称 为 防火 墙 。 


防火 墙 又 可 以 分 为 硬件 防火 墙 与 本 机 的 软件 防火 墙 。 硬 件 防火 墙 是 由 
厂商 设计 好 的 


主机 硬件 ， 这 部 硬件 防火 墙 内 的 操作 系统 主要 以 提供 封包 数据 的 过 渡 
机 制 为 主 ， 并 将 


其 他 不 必要 的 功能 拿 掉 。 因 为 单纯 作为 防火 墙 功 能 而 已 ， 因 此 封包 过 
滤 的 效率 较 佳 。 


至 于 软件 防火 墙 呢 ? 那 束 古 我 们 这 个 章 市 要 来 谈论 的 啊 ! 软件 防火 墙 
本 身 束 古 在 保护 


系统 网 络 安全 的 一 套 软 件 (或 称 为 机 制 )， 例 如 Netfilter 与 TCP 
Wrappers 都 可 以 称 


为 软件 防火 墙 。 


无 论 坚 么 分 ， 反正 防火 墙 就 是 用 来 保 扩 我们 网 络 安全 的 吃 吃 束 对 啦 ! 
我 们 这 个 章节 


主要 在 介绍 Linux 系统 本 吴 提 供 的 软件 防火 墙 的 功能 ， 那 就 是 Netfilter 
。 至 于 TCP 


Wrappers 虽然 在 基础 篇 外 八 章 认识 系统 服务 里 面谈 过 > 介 ] 这 


的 介绍 啦 ! 
9.1.1 开始 之 前 来 个 提醒 事项 


由 于 本 章 主 要 的 目的 在 介绍 Netfilter 这 种 封包 过 滤 式 的 防火 墙 机 制 ， 
因此 网 络 


基础 里 面 的 许多 封包 与 讯 框 的 概念 要 非 第 清楚 ， 包 括 网 域 的 概念 , IP 
网 域 的 撰写 方式 


和 坊 二 六 Es 人 基 丰 ss 请 到 二 音 ee AC 


OO 


lE, ICME, 


TCP, UDP 等 封包 


表 头 数据 的 认识 ， 以 及 Network/Netmask 的 整体 网 域 (CIDR) 写法 等 。 


另外 ， 虽 然 Netfilter 机 制 可 以 透 过 iptables 指令 的 方式 来 进行 规则 的 排 
序 与 


修改 ， 不 过 乌 哥 建议 你 利用 shell script 来 撰写 属于 你 自己 的 防火 墙 机 
制 比较 好 ， 


为 对 于 规则 的 排序 与 汇 整 有 比较 好 的 观察 性 ， 可 以 让 你 的 防火 墙 规则 
比较 清晰 一 点 。 


所 以 在 你 开始 了 解 邦 下 的 资料 之 前 ， 布 望 你 可 以 移 阅 读 过 相关 的 数据 
可 二 


已 经 认识 Shell 以 及 Shell script;_ 
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0 

0 

0 最 好 拥有 两 部 主机 以 上 的 小 型 局 域 网 络 环境 ， 以 方便 测试 防火 墙 ; 


0D Le, 区 域 防 火 墙 的 Linux 主机 最 好 有 两 张 实体 网 卡 ， 可 以 进行 多 种 
测试 ， 


并 架设 NAT 服务 器 ; 
9.1.2 为 何 需 要 防火 墙 
细 分 析 第 七 章 的 图 7.1-1 可 以 发 现 ， 封 包 进 入 本 机 时 ， 会 通过 防火 


软件 程序 、SELinux 与 文件 系统 等 。 所 以 基本 上 ， 如 采 你 的 系统 (了 ) 已 
经 关闭 不 需要 而 


且 危 险 的 服务 ， (2) 已 经 将 整个 系统 的 所 有 软件 都 保持 在 最 新 的 状态 ; 
(3) 权 限 设 定 妥 


当 且 定时 进行 备份 工作 ; (4) 已 经 教育 用 户 具 有 民 好 的 网 络 、 系 统 操 作 
习惯 。 那 么 你 


的 系统 实际 上 已 经 顾 为 安全 了 ! 要 不 要 染 设 防火 墙 ? 那 束 见仁见智 
史 | 


不 过 ， 毕 竟 网 络 世界 是 很 复杂 的 ， 而 Linux 主机 也 不 是 一 个 简单 的 东 
西 ， 说 不 定 


哪 一 天 你 在 进行 某 个 软件 的 测试 时 ， 主机 突然 间 束 局 动 了 一 个 网 络 服 
务 ， 如 有 果 你 没有 


管制 该 服务 的 使 用 范围 ， 那 么 该 服务 喊 等 于 对 所 有 Internet 开放 ， 那 
束 太 烦 了 ! 因 


为 该 服务 可 能 可 以 允许 任何 人 登入 你 的 系统 ， 那 不 是 挺 危 险 ? 


所 以 史 ， 防 火 墙 能 作 什么 呢 ? 防火 墙 最 大 的 功能 就 是 帮助 你 『 限 制 某 
些 服 务 的 存 取 


来 源 ]! 举例 来 说 : (1) 你 可 以 限制 文件 传输 服务 (FTP) 只 在 子 域内 
的 主机 才能 够 使 


用 ， 而 不 对 整个 Intemet 开放 ; (2) 你 可 以 限制 整 部 Linux 主机 仅 可 以 
接受 客户 端 


的 WWW 要 求 ， 其 他 的 服务 都 关闭 ; (3) 你 还 可 以 限制 整 部 主机 仅 能 
主动 对 外 联机 。 反 


过 来 说 ， 若 有 客户 端 对 我 们 主机 发 送 主动 联机 的 封包 状态 (TCP 封包 
的 SYN flag) 就 


予以 抵挡 等 等 。 这 些 束 十 最 主要 的 防火 墙 功能 了 ! 

所 以 乌 哥 认为 ,防火墙 最 重要 的 任务 束 是 在 规划 出 : 
0 切割 被 信任 (如 子 域 ) 与 不 被 信任 (如 Internet) 的 网 段 ; 
0 划分 出 可 提供 Internet 的 服务 与 必须 受 保护 的 服务 ; 
0 分 析出 可 接受 与 不 可 接受 的 封包 状态 ; 


当然 啦 ， 明 们 Linux 的 iptables 防火 墙 软件 还 可 以 进行 更 细部 深入 的 
NAT 


(Network Address Translation) 的 设 定 ， 并 进行 更 弹性 的 IP 封包 伪装 功 
能 :, 林 过 ; 


对 于 单一 主机 的 防火 墙 来 说 ， 最 简单 的 任务 还 是 上 面 那 三 项 就 是 了 
所 以 ， 你 需 不 需 


要 防火 墙 呢 ? 理论 上 ， 当 然 需 要 ! 而 且 你 必须 要 知道 『 你 的 系统 哪些 
数据 与 服务 需要 


保 扩 3， 针对 需要 受 保护 的 服务 来 设 定 防火 墙 的 规则 吧 ! 底下 我 们 先 
来 谈 一 谈 ， 那 在 


Linux 上 头 常 见 的 防火 墙 类 型 有 哪些 ? 
9.1.3 Linux 系统 上 防火 墙 的 主要 类 别 
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基本 上 ， 依 据 防 火 墙 管 理 的 范围 ， 我 们 可 以 将 防火 墙 区 分 为 网 域 型 与 
单一 主机 型 的 


东 管 。 在 单一 主机 型 的 欣 管 方面 ， 主要 的 防火 场 有 封包 过 滤 型 的 
Netfilter 与 依据 服 


务 软件 程序 作为 分 析 的 TCP Wrappers 两 种 。 若 以 区 域 型 的 防火 墙 而 
言 ， 由 于 此 类 防 


火 墙 都 是 当 作 路 由 器 角色 ， 因 此 防火 墙 类 型 主要 则 有 封包 过 小 的 
Netfilter 与 利用 代 


理 服务 器 (proxy server) 进行 存 取代 理 的 方式 了 。 
Netfilter (封包 过 滤 机 制 ) 


所 谓 的 封包 过 滤 ， 泵 即 是 分 析 进 入 主机 的 网 络 封包 ， 将 封包 的 表 头 数 
据 提出 来 进 


行 分 析 ， 以 决定 该 联机 为 放行 或 抵挡 的 机 制 。 由 于 这 种 方式 可 以 直接 
分 析 封 包 


表 头 数据 ， 所 以 包括 硬件 地 址 (MAC), 软件 地 址 (IP), TCP, UDP, ICMP 
等 封包 


的 信息 都 可 以 进行 过 滤 分 析 的 功能 ， 因 此 用 途 非常 的 广泛 。( 其 实 主要 
分 析 的 是 


OSI 七 层 协议 的 2, 3, 4 层 啦 ) 

在 Linux 上 面 我 们 使 用 核心 内 建 的 Netfilter 这 个 机 制 ， 而 Netfilter 提 
供 

了 iptables 这 个 软件 来 作为 防火 墙 封 包 过 滤 的 指令 。 由 于 Netfilter 是 核 


内 建 的 功能 ， 因 此 他 的 效率 非常 的 高 ! 非常 适合 于 一 般 小 型 环境 的 设 
定 呢 ! 


Netfilter 利用 一 些 封包 过 滤 的 规则 设 定 ， 来 定义 出 什么 资料 可 以 接 
收 ， 什 么 


资料 需要 别 除 ， 以 达到 保护 主机 的 目的 喔 ! 
时 
TCP Wrappers (程序 控 管 ) 


另 一 种 抵挡 封包 进入 的 方法 ， 为 透 过 服务 器 程序 的 外 挂 (tcpd) 来 处 置 
的 ! 与 封 


包 过 滤 不 同 的 是 ， 这 种 机 制 主要 是 分 析 谁 对 某 程 序 进 行 存 取 ， 然 后 透 
过 规则 去 


分 析 该 服务 絮 程 序 谁 能 够 联机 、 谁 不 能 联机 。 由 于 主要 是 透 过 分 析 服 
务 器 程序 


来 控 管 ， 因 此 与 启动 的 塌 口 无 关 ， 只 与 程序 的 名 称 有 关 。 举例 来 说 ， 
我 们 知道 FTP 


可 以 局 动 在 非 正 规 的 port 21 进行 监听 ， 当 你 透 过 Linux 内 建 的 TCP 


wrappers 


限制 FTP 时， 那么 你 只 要 知道 FTP 的 软件 名 称 (vsftpd) ， 然 后 对 他 作 
限制 ， 


则 不 管 FTP 启动 在 哪个 塌 口 ， 都 会 被 该 规则 管理 的 。 
Proxy (代理 服务 妖 ) 


其 实 代 理 服务 器 是 一 种 网 络 服务 ， 它 可 以 『 代 理 4 用户 的 需求 ， 而 代 
为 前 往 服务 


絮 取 得 相关 的 资料 。 束 有 点 像 感 下 这 个 图 示 吧 : 
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Proxy Server Client 


9.1-1、Proxy Server 的 运作 原理 简介 
以 上 图 为 例 ， 当 Client 端 想 要 前 往 Internet 取得 Google 的 数据 时 ， 他 
取得 数据 的 流程 是 这 样 的 : 


1. client 会 癌 proxy server 要 求 数据 ， 请 proxy 帮忙 处 理 ; 

2. proxy 可 以 分 析 使 用 者 的 了 P 来 源 是 否 合法 ? 使 用 者 想 要 去 的 
Google 服务 器 是 否 合 法 ? 如 采 这 个 client 的 要 求 都 合法 的 话 ， 那 么 
proxy 就 会 主动 的 帮忙 client 前 往 Google 取得 资料 ; 

3. Google 所 回 传 的 数据 是 传 给 proxy server 的 喔 ， 所 以 Google 服 
务 嚣 上面 看 到 的 是 proxy server 的 IP 哆 

4. 最 后 proxy 将 Google 回 传 的 数据 送 给 client 。 


这 样 了 解 了 吗 ? 没 错 ， client 并 没有 直接 连 上 Internet ， 所 以 在 实 线 部 


(和 

又 1 4) 只 要 Proxy 与 Client 可 以 联机 就 可 以 了 ! 此 时 client 甚至 不 需 
更 

拥有 publicIP 哩 ! 而 当 有 人 想 要 攻击 dient 端的 主机 时 ， 除非 他 能 够 
攻破 

Proxy server ， 人 否则 是 无 法 与 dient 联机 的 啦 ! 


另外 ， 一 般 proxy 主机 通常 仅 开 放 port 80, 21, 20 等 WWW 与 FTP 的 
塌 口 而 


已 ， 而 且 通 常 Proxy 殊 染 设 在 路 由 右上 面 ， 因 此 可 以 完整 的 掌控 局 域 
网 络 内 的 


对 外 联机 ! 让 你 的 LAN 变 的 更 安全 啊 ! 由 于 一 般 小 型 网 络 环境 很 少 
会 用 到 代理 


服务 右 ， 因 此 本 书 并 没有 谈 到 proxy server 的 设 定 ， 有 兴趣 的 话 可 以 参 
下 


第 十 七 童 squid ( 注 1) 这 个 软件 的 官网 或 google 一 下 吧 ! 


9.1.4 防火 墙 的 一 般 网 络 布线 示意 


由 前 面 的 说 明 当 中 ， 你 应 该 可 以 了 解 到 一 件 事 ， 那 束 是 防火 墙 除了 可 
以 了 保护 防火 


墙 机 制 本 号 所 在 的 那 部 主机 J 之 外 ， 还 可 以 『 保 护 防 火 墙 后 面 的 主 
机 4。 也 就 是 说 ， 防 


火 负 除了 可 以 防备 本 机 做 入 侵 之 外 ， 他 还 可 以 架设 在 路 由 器 上 面 藉以 
探 管 进 出 本 地 端 


网 域 的 网 络 封包 。 这 种 规划 对 于 内 部 私有 网 域 的 安全 也 有 一 定 程度 的 
保护 作用 呢 ! 撒 


下 我 们 稍微 谈 一 谈 目 前 常见 的 防火 墙 与 网 络 布线 的 配置 吧 : 
0 
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Private 
domain 


om 下 搜 仙 一 889) 


Linux 
Firewall/Router 


单一 网 域 ， 仅 有 一 个 路 由 亏 


他 还 可 以 架设 在 路 


以 管控 整个 局 域 网 络 的 封包 进出 。 因此 ， 在 这 类 的 防火 场 上 头 通常 至 


少 需 要 


两 个 接口 ， 将 可 信任 的 内 部 与 不 可 信任 的 Internet 分 开 ， 所 以 可 以 分 


别 设 定 
两 块 网 络 接口 的 防火 墙 规 则 啦 ! 简单 的 环境 如 同 下 列 图 9.1-2 所 示 。 


在 图 9.1-2 中 ， 由 于 防火 墙 是 设 定 在 所 有 网 络 封包 都 会 经 过 的 路 由 天 
上 要 


此 这 个 防火 墙 可 以 很 轻易 的 就 掌控 到 局 域 网 络 内 的 所 有 封包 ， 而 且 你 
只 要 管理 


~ 就 可 以 很 轻易 的 将 来 自 Internet 的 不 民 网 络 封包 抵 
当 榨 啊 。 


只 要 管理 一 部 主机 就 能 够 造福 整 的 LAN 里 面 的 PC， 很 划算 的 啦 。 


如 果 你 想 要 将 局 域 网 络 控 管 的 更 严格 的 话 ， 那 你 其 至 可 以 在 这 音 
Linux 防火 墙 


上 面 架 设 更 严格 的 代理 服务 器 ， 让 客户 端 仅 能 连 上 你 所 开放 的 WWW 
服务 器 而 已 ， 


而 且 还 可 以 透 过 代理 服务 器 的 登录 文件 分 析 功 能 ， 明 确 的 查 出 来 那个 
使 用 者 在 


某 个 时 间 点 曾经 连 上 哪些 WWwW 服务 器 ， 你 瞧 瞧 ! 厉害 吧 ! 如 采 在 
这 个 防火 墙 上 


面 再 加 洲 类 似 MRTG 的 流量 监控 软件 ， 还 能 针对 整个 网 域 的 流量 进行 
监测 。 这 样 


配置 的 优点 十: 
0 
I 


o 安全 机 制 的 设 定 可 以 针对 Linux 防火 墙 主机 来 维护 即 可 1! 


o 对 外 只 看 的 到 Linux 防火 墙 主 机 ， 所 以 对 于 内 部 可 以 达到 有 效 的 安 
金 防护 ! 
图 9.1-2、 单 一 网 域 ， 仅 有 一 个 路 由 器 的 环境 示意 图 
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Firewall/Router 


Linux 
Firewall/Router 


受 保 访 的 LAN ee 


内 部 网 络 包 含 安全 性 更 高 的 子 网 ， 需 内 部 防火 墙 切 开 子 网 : 


一 般 来 说 ， 我 们 的 防火 墙 对 于 LAN 的 防备 都 不 会 设 定 的 很 严格 ， 
为 是 我 们 目 


己 的 LAN 嘛 ! 所 以 是 信任 网 域 之 一 路 ! 不 过 ， 最 前 听 到 的 入 侵 方法 
也 是 使 用 这 
样 的 一 个 信任 漏洞 ! 因为 你 不 能 保证 所 有 使 用 企业 内 部 计算 机 的 用 户 


都 是 公司 


的 员工 ， 也 无 法 保证 你 的 员工 不 会 『 搞 破坏 ! 」 更 多 时 候 是 由 于 某 些 
外 来 访客 


利用 移动 式 痛 置 (笔记 本 电脑 ) 连接 到 公司 内 部 的 无 线 网 络 来 加 以 窃取 


企业 内 
部 的 重要 信息 。 


呵呵 ! 所 以 ， 如 果 你 有 特别 重要 的 部 门 需要 更 安全 的 保护 网 络 环境 ， 
那么 将 LAN 


里 面 再 加 设 一 个 防火 墙 ， 将 安全 等 级 分 类 ， 那 么 将 会 让 你 的 重要 数据 
获得 更 佳 的 


保护 喔 ! 整个 架构 有 扣 像 下 图 所 示 。 

9.1-3、 内 部 网 络 包含 需要 更 安全 的 于 网 防火 墙 

0 

在 防火 墙 的 后 面 架设 网 络 服 务 器 主机 

还 有 一 种 更 有 趣 的 设 定 ， 那 驳 是 将 提供 网 络 服务 的 服务 器 放 在 防 兴 墙 


后 面 ， 这 


什么 好 处 呢 ? 如 下 图 所 示 ，Web, Mail 与 FTP 都 是 透 过 防火 墙 连 到 


Internet 


上 面 去 ， 所 以 ， 底 下 这 四 部 主机 在 Internet 上 面 的 Public IP 都 是 一 样 
的 ! 


(这 个 观念 我 们 会 在 本 章 底下 的 NAT 服务 器 的 时 候 再 次 的 强调 )。 只 是 
透 过 防火 
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墙 的 封包 分 析 后 ， 将 WWW 的 要 求 封包 转 送 到 Web 主机 ， 将 Mail 送 
给 Mail 


Server 去 处 理 而 已 ( 透 过 port 的 不 同 来 转 递 ) 。 
好 了 ， 因 为 四 部 主机 在 Pnternet 上 面 看 到 的 IP 都 相同 ， 但 是 事实 上 却 


征 四 部 


不 同 的 主机 ， 而 当 有 攻击 者 想 要 入 侵 你 的 FTP 主机 好 了 ， 他 使 用 各 种 
分 析 方 法 


其 实 是 防火墙 4 那 一 部 ， 攻 击 者 想 要 攻击 你 内 部 的 
主机 ， 除 


非 他 能 够 成 功 的 搞定 你 的 防火 墙 ， 否 则 束 很 难 入 侵 你 的 内 部 主机 呢 ! 


而 且 ， 由 于 主机 放置 在 两 部 防火 墙 中 间 ， 内 部 网 络 如 采 发 生 状 况 时 
(例如 某 些 使 


用 党 个 民 操 作 导 致 中 毒 啊 、 被 社交 工程 攻陷 导致 内 部 主机 被 匀 架 啊 等 
等 的 ) ， 


征 不 会 影响 到 网 络 服务 器 的 正常 运作 的 。 这 种 方式 适用 在 比较 大 型 的 


企业 当中 


因为 对 这 些 企业 来 说 ， 网 络 主机 能 否 提供 正常 稳定 的 服务 是 很 重要 
由 | 


不 过 ， 这 种 架构 下 所 进行 的 设 定 束 得 包含 port 的 转 递 ， 而 且 要 有 很 强 
的 网 络 罗 


可 以 厘清 封包 双向 沟通 时 的 流动 方式 。 对 于 新 手 来 说 ， 设 害 
上 有 一 定 


的 难度 ， 乌 哥 个 人 不 太 建 议 新 手 这 么 做 ， 还 古 等 以 后 有 经 验 之 后 再 来 
玩 这 种 以 


构 吧 ! 
9.1-4、 架 设 在 防火 墙 后 端的 网 络 服务 器 环境 示意 图 


J 将 网 络 服务 器 独立 放置 在 两 个 防火 墙 中 间 的 网 
络 ， 我 们 称 


之 为 非 军 事 区 域 (DMZ)。 DMZ 的 目的 就 如 同 前 面 提 到 的 ， 重 点 在 保 
护 服 务 器 本 
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Iternet 与 LAN 都 隔离 开 来 ， 如 此 一 来 不 论 是 服务 如 本 
,了 


征 LAN 被 攻陷 时 ， 男 一 个 区 块 还 是 完好 无 缺 的 ! 
9.1.5 防火 墙 的 使 用 限制 


从 前 面 的 分 析 中 ， 我 们 已 经 知道 过 封包 滤 式 防火 墙 主要 在 分 析 OSI 七 
层 协议 当中 


的 2, 3,4 层 ， 既 然 如 此 的 话 ， Linux 的 Netfilter 机 制 到 底 可 以 做 些 什 
么 事情 呢 ? 


其 实 可 以 进行 的 分 析 工 作 主要 有 : 

0 拒绝 让 Internet 的 封包 进入 主机 的 某 些 端口 口 

这 个 应 该 不 难 了 解 吧 ! 例如 你 的 port 21 这 个 FTP 相关 的 埋 口 ， 若 只 
想 要 开放 

人 那么 当 Internet 来 的 封包 想 要 进入 你 的 port 21 时 ， 
有 


以 将 该 数据 封包 丢掉 ! 因为 我 们 可 以 分 析 的 到 该 封包 表 头 的 端口 口号 
码 呀 ! 


0 拒绝 让 某 些 来 源 IP 的 封包 进入 


例如 你 已 经 发 现 某 个 IP 主要 都 是 来 目 攻 击 行为 的 主机 ， 那 么 只 要 来 目 
该 IP 的 


数据 封包 ， 束 将 他 丢弃 ! 这 样 也 可 以 达到 基础 的 安全 吻 ! 
0 拒绝 让 带 有 某 些 特殊 旗 标 (flag) 的 封包 进入 


最 常 拒绝 的 就 是 市 有 SYN 的 主动 联机 的 旗 标 了 ! 只 要 一 经 发 现 ， 咖 
照 ! 你 束 可 


以 将 该 封包 丢弃 呀 ! 
0 分析 硬件 地 址 (MAC) 来 决定 联机 与 否 


如 有 条 你 的 局 域 网 络 里 面 有 比较 捣蛋 的 但 是 又 具有 比较 高 强 的 网 络 功力 
的 高 手 时 ， 


如 采 你 使 用 IP 来 抵挡 他 使 用 网 络 的 权限 ， 而 他 却 全 得 反正 换 一 个 IP 


忠 好 了 ， 


都 在 同一 个 网 域内 嘛 ! 同样 还 古 在 搞 破 坏 ~~ 怎 么 办 ? 没关系 ， 我 们 可 
以 死 锁 他 


的 网 络 卡 硬 件 地 址 啊 ! 因为 MAC 是 焊 在 网 络 卡 上 面 的 ， 所 以 你 只 
分 析 到 该 使 


用 者 所 使 用 的 MAC 之 后 ， 可 以 利用 防火 墙 将 该 MAC 锁 住 ， 呵 呵 ! 
除非 他 能 够 一 


换 再 换 他 的 网 络 卡 来 取得 新 的 MAC， 否 则 换 IP 是 没有 用 的 啦 ! 


虽然 Netfilter 防火 墙 已 经 可 以 做 到 这 么 多 的 事情 ， 不 过 ， 还 是 有 很 多 
事情 没有 


办 法 透 过 Netfilter 来 完成 喔 ! 什么 ? 设 定 防火 墙 之 后 还 不 安全 啊 ! 那 
当然 啦 ! 谁 说 


设 吓 了 防火 墙 之 后 你 的 系统 束 一 定安 全 ? 防火 墙 虽 然 可 以 防止 不 受 欢 
迎 的 封包 进入 我 


们 的 网 络 当 中 ， 不 过 ， 某 些 情 况 下 ， 他 并 不 能 保证 我 们 的 网 络 一 定 整 


很 安全 。 举 几 个 
上 防火 墙 并 不 能 很 有 效 的 抵挡 病毒 或 木马 程序 


假设 你 已 经 开放 了 WWW 的 服务 ， 那 么 你 的 WWW 主机 上 上面， 防火 
墙 一 定 得 要 将 

WWW 服务 的 port 开放 给 Client 端 登入 才 行 吧 ! 否则 你 的 WWW 主机 
设 定 了 等 


于 没有 用 对 吧 ! 也 就 是 说 ， 只 要 进入 你 的 主机 的 封包 是 要 求 WWW 数 
据 的 ， 束 可 


以 通过 你 的 防火 墙 。 那 好 了 ，『 万 一 你 的 WWW 服务 硕 软 件 有 漏洞 ， 
或 者 本 冉 问 
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0 
你 要 求 WWW 服务 的 该 封包 束 古 病毒 在 侦 测 你 的 系统 3 时， 你 的 防火 


省 本 是 三 局 
办 法 也 没有 啊 ! 因为 本 来 设 定 的 规则 就 是 会 让 他 通过 啊 。 
DD 防火墙 对 于 来 自 内 部 LAN 的 攻击 较 无 承受 力 


一 般 来 说 ， 我 们 对 于 LAN 里 面 的 主机 都 没有 什么 防火 墙 的 设 定 ， 因 
为 是 我 们 目 


己 的 LAN 啊 ， 所 以 当然 束 设 定 为 信任 网 域 了 ! 不 过 ，LAN 里 面 总 是 
可 能 有 些 网 


络 小 日 啊 ， 虽 然 他 们 不 是 故意 要 搞 破 坏 ， 但 是 他 们 就 是 不 懂 嘱 ! 所 以 
束 乱 用 网 


络 了 。 这 个 时 候 束 很 粳 料 ， 因 为 防火 墙 对 于 内 部 的 规则 设 定 通 常 比较 


少 ， » 
束 容 易 造成 内 部 员工 对 于 网 络 误 用 或 温 用 的 情况 。 


折 以 啦 ， 还 是 回 到 第 七 革 的 图 7.1-1 的 说 明 去 看 看 ， 分 析 一 下 该 图 
示 ， 你 束 会 知 


道 ， 在 你 的 Linux 主机 实地 上 网 之 前 ， 还 是 得 先 : 
0 关闭 几 个 不 安全 的 服务 ; 
0 升级 几 个 可 能 有 问题 的 套件 ; 


0 架设 好 最 起 码 的 安全 防护 -防火 墙 -- 


9.2 TCP Wrappers 


在 进入 主题 之 前 ， 我 们 先 来 玩 一 个 人 简单 的 防火 墙 机 制 ， 那 就 是 TCP 
Wrappers 这 玩 


意 儿 。 如 同 前 面 说 的 ，TCP wrappers 是 透 过 客户 端 想 要 链接 的 程序 文 
件 名 ， 然 后 分 析 


客户 端的 也 ， 看 看 是 否 需 要 放行 。 那 么 哪些 程序 文 持 TCP wrappers 
的 功能 ? 这 个 


TCP wrappers 又 该 如 何 设 定 ? 我 们 这 里 先 简 单 的 谈 谈 吧 ! (这 个 小 和 仅 
是 简单 的 介绍 过 


TCP wrappers 
) 


9.2.1 哪些 服务 有 支持 
说 罕 了 ， TCP wrappers 就 是 透 过 /etc/hosts.allow, /etc/hosts.deny 这 两 个 


至 贝 蛋 来 管理 的 一 个 类 似 防 火 墙 的 机 制 ， 但 并 非 所 有 的 软件 都 可 以 透 
过 这 两 个 档案 来 


控 管 ， 只 有 底下 的 软件 才能 够 透 过 这 两 个 档案 来 管理 防火 墙 规则 ， 分 


由 super daemon (xinetd) 所 管理 的 服务 ; 
DD 有 支援 libwrap.so 模块 的 服务 。 
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经 由 xinetd 管理 的 服务 还 好 理解 ， 就 是 配置 文件 在 /etc/xinetd.d/ 里 面 
的 服务 


就 是 xinetd 所 管理 的 啊 ! 那么 什么 是 有 文 持 libwrap.so 模块 呢 ? 就 让 
我 们 来 进行 


属 下 的 例题 ， 你 惑 比较 容易 明白 哆 : 
例题 : 


请 查 出 你 的 系统 有 没有 安装 xinetd ， 若 没有 请 安装 。 安 装 完毕 后 ， 请 
查询 


xinetd 管理 的 服务 有 哪些 ? 


[root@www ~]# yum install xinetd 

Setting up Install Process 

Package 2:xinetd-2.3.14-29.el6.x86_64 already installed and latest 

version 

Nothing to do 

# 画面 中 显示 ， 已 经 是 最 新 的 xinetd ! 所 以 ,已 经 有 安装 喝 ! 

# 接 下 来 找 出 xinetd 所 管理 的 服务 群 ! 

[root@www ~]# chkconfig xinetd on <== 要 先 让 xinetd on 后 才能 看 到 撒 
下 的 


[root@www ~]# chkconfig --list 


.…( 前 面 省 略 ).…. 

Xinetd based services: 

chargen-dgram: off 

chargen-stream: off 

…( 中 间 省 略 )..… 

rsync: off <== 下 一 人 小节 的 范例 惑 用 这 玩意 儿 来 解释 
tcpmux-server: off 


telnet: on 


上 未 结 来 最 终 输 出 的 部 分 就 是 xinetd 所 管理 的 服务 群 哆 ! 上 述 的 服务 
之 防火 墙 简 


易 设 定 ， 都 可 以 透 过 TCP wrappers 来 管理 的 噜 ! 
例题 : 


请 问 ， rsyslogd, sshd, xinetd, httpd ( 知 该 服务 不 存在 ， 请 目 行 安装 软 
件 )， 


这 四 个 程序 有 没有 支持 tcp wrappers 的 抵挡 功能 ? 


答 : 
由 于 文 持 tcp wrappers 的 服务 必定 包含 libwrap 这 一 个 动态 函 式 库 ， 
此 可 


以 使 用 1dd 来 观察 该 服务 即 可 。 人 简单 的 使 用 方式 为 : 


[root@www ~]# ldd $(which rsyslogd sshd xinetd httpd) 


# 这 个 方式 可 以 将 所 有 的 动态 函 式 库 取 出 来 查阅 ， 不 过 需要 眼睛 搜 


寻 。 

# 可 以 透 过 底下 的 方式 来 处 理 更 快 ! 

[root@www ~]#forname in rsyslogd sshd xinetd httpd; do echo $name; 
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\ 

> ldd $(which $name) | grep libwrap; done 

rsyslogd 

sshd 

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fb41d3c9000) 
xinetd 

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f6314821000) 
httpd 


上 述 的 结果 中 ， 在 该 档 名 档 下 有 出 现 libwrap 的 ， 代 表 有 找到 该 函 式 
库 ， 可 有 文博 


tcp wrappers。 所 以 ， sshd, xinetd 有 文 持 ， 但 是 rsyslogd, httpd 这 两 文 
程序 


则 不 支持 。 也 就 是 说 ， httpd 与 rsyslogd 不 能 够 使 用 /etc/hosts. 
{allowldeny} 


来 进行 防火 墙 机 制 的 控 管 。 


9.2.2 /etc/hosts.{allow|deny} 的 设 定 方式 


J 问题 的 I 了 P 来 源 呢 ? 这 两 个 档案 的 语法 
者 一样， 很 


简单 的 : 

<service(program_name)> : <IP, domain, hostname> 
< 服务 ( 亦 即 程序 名 称 )> : <IP 或 领域 或 主机 名 > 

# 上 头 的 > < 是 不 存在 于 配置 文件 中 的 喔 ! 


我 们 知道 防火 墙 的 规则 都 是 有 顺序 的 ， 那 这 两 个 档案 与 规则 的 顺序 优 
先是 怎样 呢 ? 基本 


上 是 这 样 的 : 

D 先 以 /etc/hosts.allow 为 优先 比 对 ， 该 规则 符合 整 予 以 放行 ; 

口 再 以 /etc/hosts.deny 比 对 ， 规 则 符合 就 子 以 抵挡 

0 铬 不 在 这 两 个 档案 内 ， 亦 即 规 则 都 不 符合 ， 最 终 则 予以 放行 。 


我 们 拿 rsync 这 个 xinetd 管理 的 服务 来 进行 说 明 好 了 ， 请 参考 撒 下 的 
例题 吧 : 


例题 : 
先 开放 本 机 的 127.0.0.1 可 以 进行 任何 本 机 的 服务 ， 然 后 ， 让 区 网 


(192.168.1.0/24) 可 以 使 用 rsync ， 同 时 10.0.0.100 也 能 够 使 用 rsync ， 
但 其 


a 


他 来 源 则 不 允许 使 用 rsync 喔 。 


0 rsync 的 服务 启动 的 档 名 为 何 ， 因 为 tcp wrappers 是 透 
过 局 


动 服务 的 档 名 来 管理 的 。 当 我 们 观察 rsync 的 配置 文件 时 ， 可 以 发 
现 : 
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[root@www ~]# cat /etc/xinetd.d/rsync 
service rsync 

{ 

disable = yes 

flags = IPv6 

socket_type = stream 

wait = no 

user = root 

server = /usr/bin/rsync <== 档 名 叫做 rsync 
server_args = --daemon 


log_on failure += USERID 


} 
因此 程序 字段 的 项 目 要 写 的 是 rsync 喔 ! 因此 ， 我 们 应 该 要 这 样 设 定 
的 : 


[root@www ~]# vim /etc/hosts.allow 


ALL: 127.0.0.1 <== 这 区 是 本 机 全 部 的 服务 都 接受 
rsync: 192.168.1.0/255.255.255.0 10.0.0.100 
[root@www ~ 1]# vim /etc/hosts.deny 

rsync: ALL 


上 面 的 例题 有 几 个 重点 ， 首 先 ，tcp wrappers 理论 上 不 支持 
192.168.1.0/24 这 


种 透 过 bit 数值 来 定义 的 网 域 ， 只 文 持 netmask 的 地 址 显示 方式 。 田 
外 ， 如 采 有 多 


个 网 域 或 者 十 单一 来 源 ， 可 以 透 过 空格 来 素 加 。 如 果 想 要 写成 多 行 
呢 ? 也 可 以 啊 ! 多 


写 几 行 『 kshd: IP 4 的 方式 也 可 以 ， 不 必要 将 所 有 数据 集中 在 一 行 
啦 ! 因为 tcp 


wrappers 也 是 一 条 一 条 规则 比 对 嘛 ! 


基本 上 ， 你 只 要 理解 这 些 数据 即 可 ! 因为 绝 大 部 分 的 时 刻 ， 我 们 都 会 
建议 使 用 底下 


介绍 的 Netfilter 的 机 制 来 抵挡 封包 。 那 让 我 们 准备 开始 来 玩 玩 iptables 
封包 过 滤 


防火 墙 吧 ! 

9.3 Linux 的 封包 过 滤 软 件 : iptables 

上 面谈 了 这 么 多 ， 主 要 还 是 希望 你 能 了 解 到 防火 墙 是 什么 这 个 议题 ! 
而 且 也 希望 你 


知道 防火 墙 并 非 万 能 的 。 好 了 ， 那 么 底下 我 们 终于 可 以 来 瞧 一 瞧 ， 那 
目前 我 们 的 2.6 版 


这 个 Linux 核心 到 展 使 用 什么 核心 功能 来 进行 防火 墙 设 定 ? 
net.giang@hotmail.com 

名 

名 

9.3.1 不 同 Linux 核心 版 本 的 防火 墙 软 件 


0 0 0 0 
所 提供 ， 


由 于 直接 经 过 核心 来 处 理 ， 因 此 效能 非常 好 ! 不 过 ,不同 核心 版 本 所 
使 用 的 防火 墙 软 


件 是 不 一 样 的 ! 因为 核心 支持 的 防火 墙 是 逐渐 演进 而 来 的 嘛 ! 

0 Version 2.0: 使 用 ipfwadm 这 个 防火 墙 机 制 ; 

0 Version 2.2: 使 用 的 是 ipchains 这 个 防火 墙 机 制 |; 

D Version 2.4 与 2.6 : 主要 是 使 用 iptables 这 个 防火 墙 机 制 ， 不 过 在 某 


些 早期 的 Version 2.4 版 本 的 distributions 当中 ， 亦 同时 支持 ipchains 
( 纺 


译 成 为 模块 )， 好 让 用 户 仍然 可 以 使 用 来 目 2.2 版 的 ipchains 的 防火 墙 
规划 。 


不 过 ， 不 建议 在 2.4 以 上 的 核心 版 本 使 用 ipchains 喔 ! 


因为 不 同 的 核心 使 用 的 防火 墙 机 制 不 同 ， 且 支持 的 软件 指令 与 语法 也 
不 相同 ， 所 以 


在 Linux 上 头 设 定 属于 你 目 己 的 防火 墙 规则 时 ， 要 注意 啊 ， 先 用 


uname -r 追踪 一 下 


你 的 核心 版 本 再 说 ! 如 有 果 你 是 安装 2004 年 以 后 推出 的 distributions ， 
那 束 不 需要 


担心 了 ， 因 为 这 些 distributions 几乎 都 使 用 kernel 2.6 版 的 核心 啊 ! 
入 入 


9.3.2 封包 进入 流程 : 规则 顺序 的 重要 性 ! 


前 面 的 几 个 小 节 里 面 我 们 一 直 谈 到 : 『 防 火 墙 规 则 4 ， 喷 ! 啥 是 规则 
啊 ? 因为 


iptables 征 利 用 封包 过 滤 的 机 制 ， 所 以 他 会 分 析 封 包 的 表 头 数据 。 根 
据 表 头 数据 与 定 


义 的 『 规 则 J 来 决定 该 封包 是 否 可 以 进入 主机 或 者 是 修 丢 弃 。 意思 了 束 
是 说 : 『 根 据 封 


包 的 分 析 资 料 " 比 对 " 你 预 移 定义 的 规则 内 容 ， 者 封包 数据 与 规则 内 
容 相 同 则 进行 动 


作 ， 否 则 就 继续 下 一 条 规则 的 比 对 ! 4 重点 在 那个 『 比 对 与 分 析 顺 
序 上 。 


举 个 人 简单 的 例子 ， 假 设 我 预先 定义 10 条 防火 墙 规则 好 了 ， 那 么 当 
Internet 来 了 


一 个 封包 想 要 进入 我 的 主机 ， 那 么 防火 墙 是 如 何 分 析 这 个 封包 的 呢 ? 
我 们 以 的 下 的 


示 来 说 明 好 了 : 
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9.3-1、 封 包 过 滤 的 规则 动作 及 分 析 流 程 


当 一 个 网 络 封包 要 进入 到 主机 之 前 ， 会 完 经 由 NetFilter 进行 检查 ， 那 
就 是 


iptables 的 规则 了 。 检查 通过 则 接受 (ACCEPT) 进入 本 机 取得 资源 ， 
如 果 检 查 不 通过 ， 


则 可 能 予以 丢弃 (DROP) ! 上 图 中 主要 的 目的 在 告知 你 ，『 规 则 是 有 
顺序 的 ]! 例如 


当 网 络 封 包 进 入 Rule 1 的 比 对 时 ， 如 果 比 对 结果 符合 Rule 1 ， 此 时 这 
个 网 络 封包 


就 会 进行 Action 1 的 动作 ， 而 不 会 理会 后 续 的 Rule 2, Rule 3.… 等 规则 
的 分 析 了 。 


而 如 果 这 个 封包 并 不 符合 Rule 1 的 比 对 ， 那 就 会 进入 Rule 2 的 比 对 
J 4 WM 


个 一 个 规则 去 进行 比 对 束 是 了 。 那 如 果 所 有 的 规则 都 不 符合 怎 办 ? 此 
时 束 会 透 过 预 设 


动作 (封包 政策 , Policy) 来 决定 这 个 封包 的 去 向 。 所 以 啦 ， 当 你 的 规则 
顺序 排列 错 


误 时 ， 吏 会 产生 很 挛 重 的 错误 了 。 怎么 说 呢 ? 让 我 们 看 看 底下 这 个 例 
林学 

假设 你 的 Linux 主机 提供 了 WWW 的 服务 ， 那 么 目 然 束 要 针对 port 80 
来 局 用 通 


过 的 封包 规则 ， 但 是 你 发 现 IP 来 源 为 192.168.100.100 老 是 恶意 的 党 
试 入 侵 你 的 系 


统 ， 所 以 你 想 要 将 该 耻 拒绝 往来 ， 最 后 ， 所 有 的 非 WWW 的 封包 都 
给 他 丢弃 ， 殊 这 二 


个 规则 来 说 ， 你 要 如 何 设 定 防火 墙 检 验 顺序 呢 ? 
1. Rule 1 先 抵挡 192.168.100.100 ; 
2. Rule 2 再 让 要 求 WWW 服务 的 封包 通过 ; 


3. Rule 3 将 所 有 的 封包 丢弃 。 
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0 


chain: PREROUTING 


Chain: POSTROUTING 
Policy 
Rule 1 


0 能 符合 你 的 需求 ， 不 过 ， 万 一 你 的 顺序 排 错 了 


1. Rule 1 先 让 要 求 WWW 服务 的 封包 通过 ; 
2. Rule 2 再 抵挡 192.168.100.100 ; 
3. Rule 3 将 所 有 的 封包 丢弃 。 


此 时 ， 那 个 192.168.100.100 『 可 以 使 用 你 的 WWW 服务 4 喔 ! 只 
他 对 你 的 主机 


送出 WWW 要 求 封 包 ， 吏 可 以 使 用 你 的 WWW 功能 了 ， 因 为 你 的 规 
则 顺序 定义 第 一 条 束 会 


让 他 通过 ， 而 不 去 考虑 第 二 条 规则 ! 这 样 可 以 理解 规则 顺序 的 意义 了 
吗 ! 现在 再 来 想 


一 想 ， 如 果 Rule 1 变 成 了 『 将 所 有 的 封包 丢弃 3，Rule 2 才 设 定 
TWWW 服务 封包 通 


过 4 ， 请 问 ， 我 的 dient 可 以 使 用 我 的 WWW 服务 吗 ? 呵呵 ! 答案 是 
『 否 一 J 想 通 了 


吗 ? 和 人 
9.3.3 iptables 的 表格 (table) 与 链 (chain) 
9.3-1 所 列 出 的 规则 仅 是 iptables 众多 表格 当中 的 一 个 


(chain) 而 已 。 什么 是 链 昵 ? 这 得 由 iptables 的 名 称 说 起 。 为 什么 称 为 
ip"tables" 


呢 ? 因为 这 个 防火 墙 软 件 里 面 有 多 个 表格 (table) ， 每 个 表格 都 定义 出 
目 己 的 默认 政 


策 与 规则 ， 且 每 个 表格 的 用 途 都 不 相同 。 我 们 可 以 使 用 底下 这 张 图 来 
稍微 了 解 一 下 : 


9.3-2、iptables 的 表格 与 相关 链 示 意图 
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刚刚 图 9.3-1 的 规则 内 容 仅 只 是 图 9.3-2 内 的 某 个 chain 而 已 ! 而 预 设 
的 情况 
下 ， 虽 们 Linux 的 iptables 至 少 就 有 三 个 表格 ， 包 括 管理 本 机 进出 的 


filter 、 管 


理 后 端 主机 (防火 墙 内 部 的 其 他 计算 机 ) 的 nat 、 管 理 特 殊 旗 标 使 用 的 


mangle ( 较 少 


使 用 )。 更 有 甚 者， 我 们 还 可 以 目 定 义 额外 的 链 呢 ! 真是 很 神奇 吧 ! 
每 个 表格 与 其 中 


链 的 用 途 分 别 是 这 样 的 : 

0 filter (过 滤器 ): 主要 跟 进 入 Linux 本 机 的 封包 有 关 ， 这 个 是 预 设 的 
table 喔 ! 

oINPUT: 主要 与 想 要 进入 我 们 Linux 本 机 的 封包 有 关 ; 

o OUTPUT: 主要 与 我 们 Linux 本 机 所 要 送出 的 封包 有 关 ; 

0 FORWARD: 这 个 吃 吃 与 Linux 本 机 比较 没有 关系 ， 他 可 以 『 转 弟 


封 

包 4 到 后 端的 计算 机 中 ， 与 下 列 nat table 相关 性 较 高 。 

DJ nat (地 址 转换 ): 是 Network Address Translation 的 缩写 ， 这 个 表格 主 
要 在 进行 来 源 与 目的 之 IP 或 port 的 转换 ， 与 Linux 本 机 较 无 关 ， 主 要 
与 


Linux 主机 后 的 局 域 网 络 内 计算 机 较 有 相关 。 


0 PREROUTING: 在 进行 路 由 判断 之 前 所 要 进行 的 规则 
(DNAT/REDIRECT) 


0 POSTROUTING: 在 进行 路 由 判断 之 后 所 要 进行 的 规则 
(SNAT/MASQUERADE) 

0 OUTPUT: 与 发 送出 去 的 封包 有 关 

中 a (破坏 者 ): 这 个 表格 主要 是 与 特殊 的 封包 的 路 由 旗 标 有 关 ， 


有 PREROUTING 及 OUTPUT 链 ， 不 过 从 kernel 2.4.18 之 后 加 入 了 
INPUT 及 


FORWARD 链 。 由 于 这 个 表格 与 特殊 旗 标 相关 性 较 高 ， 所 以 像 明 们 这 
种 单纯 的 环 


境 当 中 ， 较 少 使 用 mangle 这 个 表格 。 
所 以 说 ， 如 条 你 的 Linux 是 作为 www 服务 ， 那 么 要 开放 客户 端 对 你 


的 www 要 求 


有 了 响应， 就 得 要 处 理 filter 的 INPUT 链 ; 而 如 果 你 的 Linux 是 作为 局 
域 网 络 的 路 


由 器 ， 那 么 就 得 要 分 析 nat 的 各 个 链 以 及 filter 的 FORWARD 链 才 行 。 
也 就 是 说 ， 其 


实 各 个 表格 的 链 结 之 间 是 有 关系 的 ! 简单 的 关系 可 以 由 下 图 这 人 么 看 : 
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Linux 


本 机 的 资源 路 由 淹 靳 


OUTPUT 


OUTPUT 


POSTROUTING 
POSTROUTING 
2 


9.3-3、iptables 内 建 各 表格 与 链 的 相关 性 


上 面 的 图 示 很 复杂 喔 ! 不 过 基本 上 你 依旧 可 以 看 出 来 ， 我 们 的 iptables 
可 以 控制 


三 种 封包 的 流 问 : 
D 封包 进入 Linux 主机 使 用 资源 (路 径 A): 在 路 由 判断 后 确定 是 加 


Linux 
主机 要 求 数 据 的 封包 ， 主 要 就 会 透 过 filter 的 INPUT 链 来 进行 控 管 


0 封包 经 由 Linux 主机 的 转 递 ， 没 有 使 用 主机 资源， 而 是 同 后 端 主 机 
流动 (路 
径 B): 在 路 由 判断 之 前 进行 封包 表 头 的 修订 作业 后 ， 发 现 到 封包 主要 


是 要 透 过 


防火 墙 而 去 后 端 ， 此 时 封包 束 会 透 过 路 径 B 来 跑 动 。 也 束 是 说 ， 该 封 
包 的 目标 


并 非 我 们 的 Linux 本 机 。 主 要 经 过 的 链 是 flter 的 FORWARD 以 及 nat 
的 


POSTROUTING, PREROUTING。 这 路 径 B 的 封包 流向 使 用 情况 ， 我 
们 会 在 本 章 的 


9.5 小 市 来 跟 大 家 作 个 简单 的 介绍 

封包 由 Linux 本 机 发 送出 去 (路 径 CO): 例如 啊 应 客户 端的 有 要求， 或 
者 是 

Linux 本 机 主动 送出 的 封包 ， 都 是 透 过 路 人 径 C 来 跑 的 。 移 是 透 过 路 由 
判断 ， 决 


定 了 输出 的 路 径 后 ， 再 透 过 filter 的 OUTPUT 链 来 传送 的 ! 当然 ， 最 
终 还 是 会 


经 过 nat 的 POSTROUTING 链 。 


net.qiang@hotmail.com 


Linux 
本 机 的 资源 


路 由 和 判断 


OUTPUT 


FORWARD OUTPUT 


2 
Tips: 


有 没有 发 现 有 两 个 『 路 由 判断 4 呢 ? 因为 网 络 是 双向 的 ， 所 以 进 与 
出 要 分 开 来 看 ! 因此 ， 进 入 的 封包 需要 路 由 判断 ， 送出 的 封包 当然 
也 要 进行 路 由 判断 才能 够 发 送出 去 啊 ! 了 解 乎 ? 


由 于 mangle 这 个 表格 很 少 被 使 用 ， 如 果 将 图 9.3-3 的 mangle 拿 挥 的 
话 ， 那 整容 易 


看 的 多 了 : 
9.3-4、iptables 内 建 各 表格 与 链 的 相关 性 ( 简 图 ) 


透 过 图 9.3-4 你 了 吏 可 以 更 轻松 的 了 解 到 ， 事 实 上 与 本 机 最 有 关 的 其 实 


是 filter 


这 个 表格 内 的 INPUT 与 OUTPUT 这 两 条 链 ， 如 果 你 的 iptables 只 是 用 
来 保护 Linux 


主机 本 喘 的 话 ， 那 nat 的 规则 根本 就 不 需要 理 人 他， 直接 设 定 为 开放 即 
可 。 


不 过 ， 如 果 你 的 防火 墙 事 实 上 古 用 来 管制 LAN 内 的 其 他 主机 的 话 ， 
那么 你 束 必 须 


要 再 针对 filter 的 FORWARD 这 条 链 ， 还 有 nat 的 PREROUTING,， 
POSTROUTING 以 及 


OUTPUT 进行 额外 的 规则 订 定 才 行 。nat 表格 的 使 用 需要 很 清晰 的 路 
由 概念 才能 够 设 定 


的 好 ， 建 议 痢 手 先 不 要 碰 ! 最 多 承 是 先 玩 一 玩 最 阳春 的 nat 功能 TIP 
分 译 絮 的 功能 J 


束 好 了 ! ^ 人 和 ^! 这 部 份 我 们 在 本 章 的 最 后 一 小 节 会 介绍 的 啦 ! 
9.3.4 本 机 的 iptables 语法 


理论 上 ， 当 你 安 儿 好 Linux 之 后 ， 系 统 应 该 会 主动 的 帮 你 局 动 一 个 阳 
春 的 防火 墙 


规则 才 是 ， 不 过 这 个 阳春 防火 墙 可 能 不 是 我 们 想 要 的 模式 ， 因 此 我 们 
需要 额外 进行 一 


些 修 订 的 行为 。 不 过 ， 在 开始 进行 原 下 的 练习 之 前 ， 乌 哥 这 里 有 个 很 
重要 的 事情 要 告 


知 一 下 。 因 为 iptables 的 指令 会 将 网 络 封包 进行 过 滤 及 抵挡 的 动作 ， 
所 以 ， 请 不 要 
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在 远程 主机 上 进行 防火 墙 的 练习 ， 因 为 你 很 有 可 能 一 不 小 心 将 目 己 关 
在 家 门 外 ! 尽量 


在 本 机 前 面 登 入 tty1-tty6 终端 机 进行 练习 ， 否 则 常常 会 发 生 莫 剧 啊 ! 
乌 哥 以 前 刚刚 


在 玩 iptables 时 ， 束 单间 因为 不 小 心 规则 设 定 错误 ， 导 致 钊 党 要 请 远 
程 的 朋友 帮忙 重 


新 启动 … 


刚刚 提 到 咀 们 的 iptables 至 少 有 三 个 预 设 的 table (filter nat, mangle)， 


较 


常用 的 是 本 机 的 filter 表格 ， 这 也 是 默认 表格 啦 。 另 一 个 则 是 后 端 主 
机 的 nat 表格 ， 


至 于 mangle 较 少 使 用 ， 所 以 这 个 草书 我们 并 不 会 讨论 mangle。 由 于 
不 同 的 table 他 


们 的 链 不 一 样 ， 导 致使 用 的 指令 语法 或 多 或 少 剖 有 点 差异 。 在 这 个 小 
节 当 中 我 们 主 


要 将 针对 fter 这 个 默认 表格 的 三 条 链 来 做 介绍 。 底 下 束 来 玩 一 玩 吧 | 


Tips: 
防火 墙 的 设 定 主要 使 用 的 就 是 iptables 这 个 指令 而 已 。 而 防火 墙 
是 系统 管理 员 的 主要 任务 之 一 ， 且 对 于 系统 的 影响 相当 的 大 ， 因 此 


『 只 能 让 root 使 用 iptables 4」， 不 论 是 设 定 还 是 观察 防火 墙 规 
则 喔 ! 
9.3.4-1 规则 的 观察 与 清除 


如 果 你 在 安装 的 时 候 迁 择 没有 防火 墙 的 话 ， 那 么 iptables 在 一 开始 的 
时 候 应 该 是 


没有 规则 的 ， 不 过 ， 可 能 因为 你 在 安 朔 的 时 候 孢 有 选择 系统 目 动 帮 你 
建立 防火 墙 机 制 ， 


那 系 统 束 会 有 默认 的 防火 墙 规则 了 '! 无 论 如 何 ， 我 们 先 来 看 看 目前 本 
机 的 防火 墙 规则 


征 如 何 吧 ! 


[root@www ~]# iptables [-t tables] [-L] [-nv] 
选项 与 参数 : 
-t: 后 面 接 table ， 例 如 nat 或 fter ， 若 省 略 此 项 目 ， 则 使 用 默认 的 
filter 
-L: 列 出 目前 的 table 的 规则 
-n: 不 进行 IP 与 HOSTNAME 的 反 查 ， 显 示 讯 息 的 速度 会 快 很 多 


v ， 列 出 更 多 的 信息 ， 包 包括 通过 该 规则 的 封包 总 位 数 、 相 关 的 网 络 接 
口 等 


范例 : 列 出 filter table 三 条 链 的 规则 


[root@www ~]# iptables -L -n 


Chain INPUT (policy ACCEPT) <== 针 对 INPUT 链 ， 且 预 设 政 策 为 可 接 
ya 
又 


target prot opt source destination <== 说 明 栏 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 
<== 第 1 条 规则 

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 

<== 第 2 条 规则 

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 
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<== 第 3 条 规则 

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 
<== 以 下 类 推 

REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with 
icmp-host-prohibited 


Chain FORWARD (policy ACCEPT) <== 针 对 FORWARD 链 ， 且 预 设 政 
策 为 可 接 


受 

target prot opt source destination 

REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with 
icmp-host-prohibited 


Chain OUTPUT (policy ACCEPT) <== 针 对 OUTPUT 链 ， 且 预 设 政策 为 
可 接受 


target prot opt source destination 


范例 : 列 出 nat table 三 条 链 的 规则 
[root@www ~]# iptables -tnat -L -n 
Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 

Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 

Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 


在 上 表 中 ， 每 一 个 Chain 束 古 前 面 提 到 的 每 个 链 喝 ~ Chain 那 一 行 里 
面 括号 的 


policy 束 生 了 预 设 的 政策 ， 那 砌 下 的 target, prot 代表 什么 呢 ? 


DUtarget: 代表 进行 的 动作 ，ACCEPT 是 放行 ， 而 REJECT 则 是 拒绝 ， 
紫外; 


尚 有 DROP (丢弃 ) 的 项 目 ! 
D prot: 代表 使 用 的 封包 协议 ， 主 要 有 tcp, udp 及 icmp 三 种 封包 格 


3 

0 opt: 额外 的 选项 说 明 

吕 source : 代表 此 规则 是 针对 哪个 了 来 源 IPJ 进行 限制 ? 

0 destination : 代表 此 规则 是 针对 哪个 『 了 目标 下 4 进行 限制 ? 

在 输出 结果 中 ， 第 一 个 范例 因为 没有 加 上 -t 的 选项 ， 所 以 默认 就 是 


filter 这 个 


表格 内 的 INPUT OUTPUT FORWARD 三 条 链 的 规则 咖 。 若 针对 单机 
来 说 ，INPUT 与 


FORWARD 算是 比较 重要 的 管制 防火 墙 链 ， 所 以 你 可 以 发 现 最 后 一 条 
规则 的 政策 是 


REJECT (拒绝 ) 喔 ! 虽然 INPUT 与 FORWARD 的 政策 是 放行 
(ACCEPT)， 不 过 在 最 后 一 


条 规则 整 已 经 将 全 部 的 封包 都 拒绝 了 | 


不 过 这 个 指令 的 观察 只 是 作 个 格式 化 的 查阅 ， 要 详细 解释 每 个 规则 会 
比较 不 容易 解 


析 。 举 例 来 说 ， 我 们 将 INPUT 的 5 条 规则 依据 输出 结果 来 说 明 一 
下 ， 结 有 果 会 变 成 : 
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1. 只 要 是 封包 状态 为 RELATED,ESTABLISHED 就 予以 接受 

2. 只 要 封包 协议 是 icmp 类 型 的 ， 就 予以 放行 

3. 无 论 任何 来 源 (0.0.0.0/0) 且 要 去 任何 目标 的 封包 ， 不 论 任何 封包 格 


工 

(prot 为 al， 通通 都 接受 

4. 只 要 是 传 给 port 22 的 主动 式 联 机 tcp 封包 就 接受 
5. 全 部 的 封包 信息 通通 拒绝 


最 有 趣 的 应 该 是 第 3 条 规则 了 ， 怎 么 会 所 有 的 封包 信息 都 子 以 接受 ? 
如 采 都 接受 


的 话 ， 那 么 后 续 的 规则 根本 束 不 会 有 用 嘛 ! 其 实 那 条 规则 是 仅 针 对 
部 主机 都 有 的 内 


部 循环 测试 网 络 (10) 接口 啦 ! 如 果 没 有 列 出 接口 ， 那 么 我 们 融 很 容易 
搞 错 哆 ~~ 所 以 ， 


近来 乌 哥 都 建议 使 用 iptables-save 这 个 指令 来 观察 防火 墙 规 则 啦 ! 因 
为 


iptables-save 会 列 出 完整 的 防火 墙 规则 ， 只 是 并 没有 规格 化 输出 而 已 。 
[root@www ~]# iptables-save [-t table] 

选项 与 参数 : 

-t : 可 以 仅 针 对 某 些 表格 来 输出 ， 例 如 仅 针对 nat 或 filter 等 等 
[root@www ~]#iptables-save 

# Generated by iptables-save v1.4.7 on Fri Jul 22 15:51:52 2011 

*filter <== 星 号 开头 的 指 的 是 表格 ， 这 里 为 filter 

:INPUT ACCEPT [0:0] <== 冒 号 开头 的 指 的 是 链 ， 三 条 内 建 的 链 


:FORWARD ACCEPT [0:0] <== 三 条 内 建 链 的 政策 都 是 ACCEPT 哎 ! 
:OUTPUT ACCEPT [680:100461] 


-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <== 针 
对 INPUT 


的 规则 

-A INPUT -p icmp -j ACCEPT 

-AINPUT -ilo -j ACCEPT <== 这 条 很 重要 ! 针对 本 机 内 部 接口 开放 ! 
-A INPUT -ptcp -m state --state NEW -m tcp --dport 22 -] ACCEPT 


-A INPUT -) REJECT --reject-with icmp-host-prohibited 


-A FORWARD -j REJECT --reject-with icmp-host-prohibited <== 针 对 
FORWARD 的 规则 
COMMIT 
# Completed on Fri Jul 22 15:51:52 2011 
由 上 面 的 输出 来 看 ， 有 底线 且 内 容 含 有 lo 的 那 条 规则 当中 ， 
『 -ilo 4 指 的 就 是 由 lo 


适 配 卡 进来 的 封包 ! 这 样 看 束 清 楚 多 了 ! 因为 有 写 到 接口 的 关系 啊 ! 
不 像 之 前 的 


iptables -L -n 嘛 ! 这 样 了 解 乎 ! 不 过 ， 既 然 这 个 规则 不 是 我 们 想 要 
的 ， 那 该 如 何 修 


改 规则 呢 ? 鸟 哥 建议 ， 先 删除 规则 再 慢 慢 建立 各 个 需要 的 规则 ! 那 如 
何 清除 规则 ? 这 


样 做 束 对 了 : 
[root@www ~]# iptables [-t tables] [-FXZ] 
选项 与 参数 : 


-F : 清除 所 有 的 已 订 定 的 规则 ; 
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-X : 杀 掉 所 有 使 用 者 " 自 定 义 " 的 chain (应 该 说 的 是 tables ) 中 ; 
-Z : 将 所 有 的 chain 的 计数 与 流量 统计 都 归 零 

范例 :清除 本 机 防火 墙 (filter) 的 所 有 规则 


[root@www ~]# iptables -F 
[root@www ~]# iptables -X 
[root@www ~]# iptables -Z 


由 于 这 三 个 指令 会 将 本 机 防火 墙 的 所 有 规则 都 清除 ， 但 却 不 会 改变 预 
设 政策 (policy) ， 


所 以 如 果 你 不 是 在 本 机 下 达 这 三 行 指令 时 ， 很 可 能 你 会 被 自己 挡 在 家 
门 外 ( 若 INPUT 


设 定 为 DROP 时 )! 要 小 心 啊 ! 


一 般 来 说 ， 我 们 在 重新 定义 防火 墙 的 时 候 ， 都 会 先 将 规则 给 他 清除 
掉 。 还 记得 我 们 


前 面谈 到 的 ， 防火 墙 的 了 规则 顺序 4 是 有 特殊 意义 的 ， 所 以 嗓 ， 当然 
先 清除 挥 规则 ， 

然后 一 条 一 条 来 设 定 会 比较 容易 一 点 啦 。 改 下 距 来 谈 谈 定义 预 设 政 入 
吧 ! 


9.3.4-2 定义 预 设 政策 (policy) 


清除 规则 之 后 ， 再 接 下 来 就 是 要 设 定 规则 的 政策 啦 ! 还 记得 政策 指 的 
pa 


『 当 你 的 封包 不 在 你 设 定 的 规则 之 内 时 ， 则 该 封包 的 通过 与 否 ， 是 以 
Policy 的 设 定 


为 准 1 ， 在 本 机 方面 的 预 设 政策 中 ， 假 设 你 对 于 内 部 的 使 用 者 有 信心 
的 话 ， 那 么 filter 


内 的 INPUT 链 方 面 可 以 定义 的 比较 严格 一 点 ， 而 FORWARD 与 
OUTPUT 则 可 以 订 定 的 松 


一 些 ! 通常 乌 哥 都 是 将 INPUT 的 policy 定义 为 DROP 啦 ， 其 他 两 个 
则 定义 为 ACCEPT 。 


至 于 nat table 则 暂时 先 不 理会 他 。 


[root@www ~]# iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] 
[ACCEPT,DROP|] 


选项 与 参数 : 

-P : 定义 政策 (Policy ) 。 注 意 ， 这 个 P 为 大 写 啊 ! 
ACCEPT : 该 封包 可 接受 

DROP : 该 封包 直接 丢弃 ， 不 会 让 client 端 知道 为 何 被 丢弃 。 


范例 : 将 本 机 的 INPUT 设 定 为 DROP ， 其 他 设 定 为 ACCEPT 


[root@www ~]# iptables -P INPUT DROP 

[root@www ~]# iptables -P OUTPUT ACCEPT 

[root@www ~]# iptables -P FORWARD ACCEPT 

[root@www ~ |]# iptables-save 

# Generated by iptables-save v1.4.7 on Fri Jul 22 15:56:34 2011 
*filter 

:INPUT DROP [0:0] 

:FORWARD ACCEPT [0:0] 
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:OUTPUT ACCEPT [0:0] 


COMMIT 

# Completed on Fri Jul 22 15:56:34 2011 

# 由 于 INPUT 设 定 为 DROP 而 又 尚未 有 任何 规则 ， 
所 以 上 面 的 输出 结果 显示 : 


# 的 封包 都 无 法 进入 你 的 主机 ! 是 不 通 的 防火 墙 设 定 ! (网 络 联机 
征 双 折 


的 ) 


看 到 输出 的 结果 了 吧 ? INPUT 被 修改 了 设 定 喔 ! 其 他 的 nat table 三 条 
链 的 预 设 政策 


设 定 也 是 一 样 的 方式 ， 例 如 : FT iptables -t nat -P PREROUTING 
ACCEPT J 就 设 定 了 


nat table 的 PREROUTING 链 为 可 接受 的 意思 ! 预 设 政策 设 定 完毕 后 ， 
来 谈 一 谈 关 于 各 


规则 的 封包 基础 比 对 设 定 吧 。 
9.3.4-3 封包 的 基础 比 对 : 了 网 域 及 接口 装置 


开始 来 进行 防火 墙 规则 的 封包 比 对 设 定 吧 ! 既然 是 因特网 ， 那 么 我 们 
就 由 最 基础 的 


IP, 网 域 及 埋 口 ， 亦 即 是 OSI 的 第 三 层 谈 起 ， 再 来 谈 谈 装置 (网 络 卡 ) 
的 限制 等 等 。 


这 一 小 市 与 下 一 小 市 的 语法 你 一 定 要 记 住 ， 因 为 这 是 最 基础 的 比 对 语 
法 喔 ! 


[root@www ~]# iptables [-AI 链 名 ] [-io 网 络 接口 ] [-p 协议 ]\ 


> [-s 来 源 IP/ 网 域 ] [-d 目标 IP/ 网 域 ] -j [ACCEPTIDROP|REJECT|LOG] 


选项 与 参数 : 

-AI 链 名 : 针对 某 的 链 进 行规 则 的 "插入 "或 " 素 加 " 

-A : 新 增加 一 条 规则 ， 该 规则 增加 在 原本 规则 的 最 后 面 。 例 如 原本 已 
经 


有 四 条 规则 ， 
使 用 -A 束 可 以 加 上 第 五 条 规则 ! 
-I : 插入 一 条 规则 。 如 果 没 有 指定 此 规则 的 顺序 ， 移 认 是 插入 变 成 第 


条 规则 。 
例如 原本 有 四 条 规则 ， 使 用 工 则 该 规则 变 成 第 一 条 ， 而 原本 四 条 


变 成 2~5 号 


链 : 有 INPUT OUTPUT FORWARD 等 ， 此 链 名 称 又 与 -io 有 关 ， 请 
看 底 


下 O 
-io 网 络 接口 : 设 定 封 包 进 出 的 接口 规范 
-i : 封包 所 进入 的 那个 网 络 接口 ， 例 如 eth0, lo 等 接口 。 需 与 INPUT 


-0: 封包 所 传 出 的 那个 网 络 接口 ， 需 与 OUTPUT 链 配 合 ; 
-p 协定 : 设 定 此 规则 适用 于 哪 种 封包 格式 
主要 的 封包 格式 有 : tcp, udp, icmp 及 al 。 
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-s 来 源 了 /网 域 : 设 定 此 规则 之 封包 的 来 源 项 目 ， 可 指定 单纯 的 IP 或 
包括 


网 域 ， 例 如 : 


IP : 192.168.0.100 


网 域 : 192.168.0.0/24, 192.168.0.0/255.255.255.0 均 可 。 

各 规范 为 了 不 许 4 时， 则 加 上 1! 即 可 ， 例 如 : 

-s 1 192.168.100.0/24 表示 不 许 192.168.100.0/24 之 封包 来 源 ; 
-d 目标 IP/ 网 域 .， 同 -s ， 只 不 过 这 里 指 的 是 目标 的 卫 或 网 域 。 


-j : 后 面 接 动 作 ， 主 要 的 动作 有 接受 (ACCEPT)、 丢 弃 (DROP)、 拒 绝 
(REJECT) 


及 记录 (LOG) 


iptables 的 基本 参数 束 如 同上 面 所 示 的 ， 仪 只 谈 到 IP、 网 域 与 装置 等 
等 的 信息 ， 至 


于 TCP, UDP 封包 特有 的 塌 口 (port numben 与 状态 (如 SYN 旗 标 ) 则 在 
下 小 节 才 会 


谈 到 。 好 ， 先 让 我 们 来 看 看 最 基础 的 几 个 规则 ， 例 如 开放 1o 这 个 本 机 
的 接口 以 及 时 


个 IP 来源 吧 | 
范例 : 设 定 lo 成 为 受信 任 的 装置 ， 亦 即 进出 lo 的 封包 都 予以 接受 


[root@www ~]# iptables -AINPUT -ilo -) ACCEPT 


仔细 看 上 面 并 没有 列 出 -s, -d 等 等 的 规则 ， 这 表示 : 不 论 封 包 来 目 何 
处 或 去 到 哪里 ， 


只 要 有 是 来 目 lo 这 个 界面 ， 就 予以 接受 ! 这 个 观念 挺 重 要 的 ， 丈 是 『 没 
有 指定 的 项 目 ， 


则 表示 该 项 目 完全 接受 4 的 意思 ! 例如 这 个 案例 当中 ， 关 于 -s, -d.…. 等 
等 的 参数 没 


有 规定 时 ， 束 代表 不 论 什么 值 都 会 彼 接 受 哎 。 


这 就 是 所 请 的 信任 淡 置 啦 ! 假如 你 的 主机 有 两 张 以 太 网络 卡 ， 其 中 一 
张 是 对 内 部 的 


网 域 ， 假 设 该 网 卡 的 代号 为 ethl 好 了 ， 如 有 果 内 部 网 域 是 可 信任 的 ， 那 
么 该 网 卡 的 进 


出 封包 吏 通 通 会 被 接受 ， 那 你 丈 能 够 用 : Tiptables -A INPUT -i eth1 -j 
ACCEPTJ 来 


将 该 狠 置 设 定 为 信任 装置 。 不 过 ， 下 达 这 个 指令 前 要 特别 注意 ， 因 为 
这 样 等 于 该 网 卡 没 


有 任何 防备 了 喔 |! 
范例 : 只 要 是 来 自 内 网 的 (192.168.100.0/24) 的 封包 通通 接受 


[root@www ~]# iptables -A INPUT -iethl -s 192.168.100.0/24 -j 
ACCEPT 


# 由 于 是 内 网 束 接 受 ， 因 此 也 可 以 称 之 为 『 信 任 网 域 ] 哆 。 


范例 : 只 要 是 来 目 192.168.100.10 束 接 受 ， 但 192.168.100.230 这 个 恶 
来 源 就 丢弃 


[root@www ~]# iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT 


[root@www ~]# iptables -A INPUT -iethl -s 192.168.100.230 -] DROP 


# 针对 单一 下 来 源 ， 可 视 为 信任 主机 或 者 是 不 信任 的 恶意 来 源 喔 ! 


[root@www ~]# iptables-save 
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# Generated by iptables-save v1.4.7 on Fri Jul 22 16:00:43 2011 
*filter 

:INPUT DROP [0:0] 

:FORWARD ACCEPT [0:0] 

:OUTPUT ACCEPT [17:1724] 

-A INPUT -i lo -j ACCEPT 

-A INPUT -s 192.168.100.0/24 -i eth1 -j ACCEPT 
-A INPUT -s 192.168.100.10/32 -i eth1 -j ACCEPT 
-A INPUT -s 192.168.100.230/32 -i eth1 -j DROP 
COMMIT 

# Completed on Fri Jul 22 16:00:43 2011 


这 就 是 最 单纯 简单 的 防火 墙 规 则 的 设 定 与 观察 方式 。 不 过 ， 在 上 面 的 
案例 中 ， 其 实 你 也 


发 现 到 有 两 条 规则 可 能 有 问题 ~ 那 束 和 证 上 面 的 特殊 字体 图 起 来 的 规则 
顺序 。 明 明 已 经 


放行 了 192.168.100.0/24 了 ， 所 以 那个 192.168.100.230 的 规则 就 不 可 
能 会 被 用 到 ! 


这 就 是 有 问题 的 防火 墙 设 定 啊 ! 了 解 乎 ? 那 该 怎 办 ? 就 重 打 啊 ! 
@_@! 那 如 果 你 想 要 记 


杂 某 个 规则 的 纪录 怎么 办 ? 可 以 这 样 做 : 

[root@www ~]# iptables -A INPUT -s 192.168.2.200 -j LOG 
[root@www ~]# iptables -L -n 

target prot opt source destination 

LOG all -- 192.168.2.200 0.0.0.0/0 LOG flags 0 level 4 


看 到 输出 结果 的 最 左边 ， 会 出 现 的 是 LOG 喔 ! 只 要 有 封包 来 目 
192.168.2.200 这 个 


时 ， 那 么 该 封包 的 相关 信息 束 会 被 写 入 到 核心 讯 电 ， 父 即 十 


/varlog/messages 这 个 


档案 当中 。 A 会 继续 进行 后 续 的 规则 比 对 。 所 以 说 ，LOG 
这 个 动作 仅 在 进 


记录 而 已 ， 并 不 会 影响 到 这 个 封包 的 其 他 规则 比 对 的 。 好 了 ， 接 下 来 
我 们 分 别 来 看 看 


TCPUDP 以 及 ICMP 封包 的 其 他 规则 比 对 吧 ! 


9.3.4-4 TCP, UDP 的 规则 比 对 : 针对 坦 口 设 定 


在 谈 到 TCP 与 


Ds 时 ， 尼 较 
特殊 的 就 是 那个 起 口 (port)， 在 TCP 方面 则 另外 有 所 谓 的 联机 封包 状 


仿 ， 包 括 最 第 


见 的 SYN 主动 联机 的 封包 格式 。 那 么 如 何 针 对 这 两 种 封包 格式 进行 防 
火 墙 规则 的 设 定 


呢 ? 你 可 以 这 样 看 : 

[root@www ~]# iptables [-AI 链 ] [-io 网 络 接 口 ] [-p tcp,udp] \ 

> [-s 来 源 IP/ 网 域 ] [--sport 埋 口 范围 

> [-d 目标 IP/ 网 域 ] [--dport 埋 口 范围 ] -j [ACCEPTIDROPIREJECT] 
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选项 与 参数 : 


--Sport 埋 口 范围 : 限制 来 源 的 端口 口号 码 ， 端 口 口 号 码 可 以 是 连续 
了 时， 例如 


1024:65535 
--dport 塌 口 范围 ,限制 目标 的 端口 口号 码 。 


事实 上 就 是 多 了 那个 --sport 及 --dport 这 两 个 玩意 儿 ， 重 点 在 那个 port 
上 面 啦 ! 


不 过 你 得 要 特别 注意 ， 因 为 仅 有 tcp 与 udp 封包 具有 埠 口 ， 因 此 你 想 
要 使 用 --dport， 


--Sport 时 ， 得 要 加 上 -ptcp 或 -p udp 的 参数 才 会 成 功 喔 ! 底下 让 我 们 
来 进行 几 个 


小 测试 : 
范例 :， 想 要 联机 进入 本 机 port 21 的 封包 都 抵挡 掉 ; 


[root@www ~]# iptables -A INPUT -ieth0 -ptcp --dport 21 -] DROP 


范例 : 想 连 到 我 这 部 主机 的 网 芳 (upd port 137,138 tcp port 139,445) 就 


放行 


[root@www ~]# iptables -A INPUT -ieth0 -p udp --dport 137:138 -j 
ACCEPT 


[root@www ~]# iptables -A INPUT -i eth0 -p tcp --dport 139 -} ACCEPT 
[root@www ~]# iptables -A INPUT -i eth0 -ptcp --dport 445 -} ACCEPT 


瞧 ! 你 可 以 利用 UDP 与 TCP 协议 所 拥有 的 端口 口号 码 来 进行 茶 些 服 
务 的 开放 或 关闭 喔 ! 


你 还 可 以 综合 处 理 呢 ! 例如 : 只 要 来 目 192.168.1.0/24 的 1024:65535 
塌 口 的 封包 ， 


且 想 要 联机 到 本 机 的 ssh port 就 予以 抵挡 ， 可 以 这 样 做 : 
[root@www ~]# iptables -A INPUT -i eth0 -ptcp -s 192.168.1.0/24 \ 
> --Sport 1024:65534 --dport ssh -] DROP 

如 果 和 起 记 加 上 -p tcp 束 使 用 了 --dport 时 ， 会 发 生 蛤 问题 呢 ? 
[root@www ~l]# iptables -A INPUT -i eth0 --dport 21 -DROP 
iptables v1.4.7: unknown option --dport' 


Try iptables -h' or 'iptables --help' for more information. 


你 应 该 会 觉得 很 奇怪 ， 怎 么 『 --dport J 会 是 未 知 的 参数 (arg) 呢 ? 这 
征 因 为 你 没有 


加 上 -ptcp 或 -pudp 的 缘故 啊 ! 很 重要 喔 | 


除了 坦 口 之 外 ,在 TCP 还 有 特殊 的 旗 标 啊 ! 最 常见 的 就 是 那个 主动 联 
机 的 SYN 旗 


标 了 。 我 们 在 iptables 里 面 还 文 持 『 --syn J4 的 处 理 方式 ， 我 们 以 瓜 下 
的 例子 来 说 


明 好 了 : 
范例 : 将 来 自任 何 地 方 来 源 port 1:1023 的 主动 联机 到 本 机 端的 1:1023 
联机 丢 


弃 


net.giang(@hotmail.com 

0 

[root@www ~ |]# iptables -A INPUT -i eth0 -ptcp --sport 1:1023\ 
> --dport 1:1023 --syn -] DROP 


一 般 来 说 ，client 端 启 用 的 port 都 是 大 于 1024 以 上 的 井口 ， 而 server 
端 则 是 启 


用 小 于 1023 以 下 的 埋 口 在 监听 的 。 所 以 我 们 可 以 让 来 目 远程 的 小 于 
1023 以 下 的 端口 


口 数据 的 主动 联机 都 给 他 丢弃 ! 但 不 适用 在 FTP 的 主动 联机 中 ! 这 部 
份 我 们 未 来 在 二 


十 一 草 的 FTP 服务 器 再 来 谈 吧 ! 


9.3.4-5 iptables 外 挂 模 块 : mac 与 state 


在 kernel 2.2 以 前 使 用 ipchains 管理 防火 墙 时 ， 会 让 系统 管理 员 相 
当头 痛 ! 


因为 ipchains 没有 所 谓 的 封包 状态 模块 ， 因 此 我 们 必须 要 针对 封包 的 
进 、 出 方向 进行 


管控 。 举 例 来 说， 如果 你 想 要 联机 到 远程 主机 的 port 22 时 ， 你 必须 要 
针对 两 条 规则 


来 设 定 : 
0 本 机 端的 1024:65535 到 远程 的 port 22 必须 要 放行 (OUTPUT 链 ); 
0 远程 主机 port 22 到 本 机 的 1024:65535 必须 放行 (INPUT 链 ); 


这 会 很 麻烦 ! 因为 如 果 你 要 联机 到 10 部 主机 的 port 22 上 时， 假设 
OUTPUT 为 预 


设 开启 (ACCEPT)， 你 依旧 需要 填写 十 行规 则 ， 让 那 十 部 远程 主机 的 
port 22 可 以 联 


机 到 你 的 本 地 端 主机 上 “。 那 如 果 开 局 全 部 的 port 22 呢 ? 又 担心 某 些 
恶意 主机 会 主动 


以 port 22 联机 到 你 的 机 器 上 ! 同样 的 道理 ， 如 采 你 要 让 本 地 端 主机 
可 以 连 到 外 部 的 


port 80 (WWW 服务 )， 那 惑 更 不 得 了 ~ 这 束 是 网 络 联机 是 双 加 的 一 个 
很 重要 的 概念 ! 


好 在 我 们 的 iptables 免除 了 这 个 困扰 ! 他 可 以 透 过 一 个 状态 模块 来 分 
析 了 这 个 


想 要 进入 的 封包 是 否 为 刚刚 我 发 出 去 的 啊 应 ? 4 如 果 是 刚刚 我 发 出 去 
的 啊 应 ， 那 么 就 


可 以 予以 接受 放行 ! 哇 ! 真 棱 ! 这 样 整 不 用 管 远程 主机 是 否 联机 进来 
的 问题 了 ! 那 如 


何 达到 呢 ? 看 看 底下 的 语法 ; 
[root@www ~]# iptables -AINPUT [-m state] [--state 状态 ] 


选项 与 参数 : 


-m : 一 些 iptables 的 外 挂 模块 ， 主 要 常见 的 有 : 
state : 状态 模块 

ac: 网 络 卡 硬 件 地 址 (hardware address) 

--state : 一 些 封包 的 状态 ， 主 要 有 : 

INVALID : 无 效 的 封包 ， 例 如 数据 破损 的 封包 状态 
ESTABLISHED: 已 经 联机 成 功 的 联机 状态 ; 
NEW : 想 要 新 建立 联机 的 封包 状态 ; 


RELATED : 这 个 最 常用 ! 表示 这 个 封包 是 与 我 们 主机 发 送出 去 的 圭 
各 


有 关 
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范例 ， 只 要 已 建立 或 相关 封包 束 予 以 通过 ， 只 要 是 不 合法 封包 束 丢 弃 
[root@www ~l]# iptables -A INPUT -m state \ 

> --state RELATED,ESTABLISHED -)j ACCEPT 

[root@www ~ 1]# iptables -A INPUT -m state --state INVALID -j DROP 


如 此 一 来 ， 我 们 的 iptables 束 会 主动 分 析出 该 封包 是 否 为 啊 应 状态 
铬 十 的 话 ， 束 直 


接 予 以 接受 。 呵 呵 ! 这 样 一 来 你 束 不 需要 针对 啊 应 的 封包 来 接 写 个 别 
的 防火 墙 规则 了 ! 


这 真是 太 棒 了 ! 底下 我 们 继续 谈 一 下 iptables 的 男 一 个 外 挂 ， 那 束 是 
针对 网 卡 来 进 


行 放行 与 防御 : 

范例 : 针对 局 域 网 络 内 的 aa:bb:cc:dd:ee:ff 主机 开放 其 联机 
[root@www ~]# iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff 
\ 

> -j ACCEPT 

选项 与 参数 : 

--mac-source : 就 是 来 源 主机 的 MAC 啦 ! 


如 宁 你 的 区 网 当中 有 某 些 网 络 高 手 ， 老 是 可 以 透 过 修改 IP 去 芝 试 透 过 
路 由 万 往外 跑 ， 


那 你 该 怎么 办 ? 难道 将 整个 区 网 拒绝 ? 并 不 需要 的 ， 你 可 以 透 过 之 前 
谈 到 的 ARP 相关 


概念 ， 去 捉 到 那 部 主机 的 MAC ， 然 后 透 过 上 头 的 这 个 机 制 ， 将 该 主 
机 整个 DROP 掉 即 


可 。 不 管 他 改 了 什么 IP ， 除 非 他 知道 你 是 用 网 卡 的 MAC 来 管理 ， 否 
则 他 融 是 出 不 去 


啦 ! 了 解 乎 ? 
Tips: 
其 实 MAC 也 是 可 以 伪 逆 的， 可 以 透 过 某 些 软件 来 修改 网 卡 的 MAC。 


不 过 ， 这 里 我 们 是 假设 MAC 是 无 法 修改 的 情况 来 说 明 的 。 此 外 ， 
MAC 是 不 能 跨 路 由 的 ， 因 此 上 述 的 案例 中 才 特 别 说 明 是 在 区 网 内 ， 
而 不 是 指 Internet 外 部 的 来 源 喷 ! 

9.3.4-6 ICMP 封包 规则 的 比 对 : 针对 是 否 响应 ping 来 设计 


午 第 二 童 ICMP 协定 当中 我 们 知道 ICMP 的 类 型 相当 的 多 ， 而 且 很 多 
ICMP 封包 的 


类 型 都 是 为 了 要 用 来 进行 网 络 检测 用 的 ! 所 以 最 好 不 要 将 所 有 的 
ICMP 封包 都 丢弃 ! 如 


果 不 是 做 为 路 由 如 的 主机 时 ， 通 常 我 们 会 把 ICMP type 8 (echo request) 
拿 掉 而 已 ， 


让 远程 主机 不 知道 我 们 是 否 存 在 ， 也 不 会 接受 ping 的 响应 就 是 了 。 
ICMP 封包 格式 的 


处 理 是 这 样 的 : 


[root@www ~]# iptables -A INPUT [-p icmp] [--icmp-type 类 型 ] -j 
ACCEPT 


选项 与 参数 : 
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--icmp-type : 后 面 必 须要 接 ICMP 的 封包 类 型 ， 也 可 以 使 用 代号， 
例如 8 代表 echo request 的 意思 。 

范例 : 让 0,3,4,11,12,14,16,18 的 ICMP type 可 以 进入 本 机 .: 


[root@www ~]# vi somefile 


#!/bin/bash 

icmp_type="0341112141618" 

for typeicmp in $icmp_type 

do 

iptables -A INPUT -i eth0 -p icmp --icmp-type $typeicmp -j ACCEPT 
done 


[root@www ~]# sh somefile 


这 样 束 能 够 开放 部 分 的 ICMP 封包 格式 进入 本 机 进行 网 络 检测 的 工作 
了 ! 不 过 ， 如 条 你 


的 主机 是 作为 区 网 的 路 由 器 ， 那么 建议 icmp 封包 还 是 要 通通 放行 才 
好 ! 这 是 因为 客 


户 端 检测 网 络 时 ， 常 常会 使 用 ping 来 测试 到 路 由 响 的 线路 是 否 畅 通 之 
故 哆 ! 所 以 不 


要 将 路 由 器 的 icmp 关 掉 ， 会 有 状况 啦 | 
9.3.4-7 超 阳 春 客户 端 防火 墙 设计 与 防火 墙 规 则 储存 


经 过 上 述 的 本 机 iptables 语法 分 析 后 ， 接 下 来 我 们 来 想 想 ， 如 果 站 在 
客户 端 且 不 


提供 网 络 服务 的 Linux 本 机 角色 时 ， 你 应 该 要 如 何 设计 你 的 防火 墙 
呢 ? 老实 说 ， 你 只 


要 分 析 过 CentOS 默认 的 防火 载 规则 束 会 知道 了 ， 理 论 上 ， 应 该 妥 有 
的 规则 如 下 : 


1. 规则 归 零 : 清除 所 有 已 经 存在 的 规则 (iptables -F...) 


2. 预 设 政策 : 除了 INPUT 这 个 自 定义 链 设 为 DROP 外， 其 他 为 预 设 
ACCEPT: 


3. 信任 本 机 : 由 于 lo 对 本 机 来 说 是 相当 重要 的 ， 因 此 lo 必须 设 定 为 


信任 装 

置 ; 

4. 回应 封包 让 本 机 主动 辐 外 要 求 而 啊 应 的 封包 可 以 进入 本 机 
(ESTABLISHED,RELATED) 


5. 信任 用 户 : 这 是 非 必 要 的 ， 如 采 你 想 要 让 区 网 的 来 源 可 用 你 的 主机 
资源 时 


这 束 是 最 最 阳春 的 防火 墙 ， 你 可 以 透 过 第 二 步骤 抵挡 所 有 远程 的 来 源 
封包 ， 而 透 过 


第 四 步 又 让 你 要 求 的 远程 主机 啊 应 封包 可 以 进入 ， 加 上 让 本 机 的 lo 这 
个 内 部 循环 猴 


置 可 以 放行 ， 嘿嘿 ! 一 部 dient 专用 的 防火 增 规 则 束 OK 了 ! 你 可 以 
在 某 个 script 上 


面 这 样 做 即 可 : 


[root@www ~]# vim bin/firewall.sh 
#!1/bin/bash 
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PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH 


#1. 清除 规则 

iptables -F 

iptables -X 

iptables -Z 

# 2. 设 定 政策 

iptables -P INPUT DROP 

iptables -P OUTPUT ACCEPT 
iptables -P FORWARD ACCEPT 

# 3~5. 制订 各 项 规则 

iptables -A INPUT -ilo -j ACCEPT 


iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j 
ACCEPT 


#iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT 
# 6. 写 入 防火 墙 规则 配置 文件 

/etc/init.d/iptables save 

[root@www ~]# sh bin/firewall.sh 


iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK | 


其 实 防火 墙 也 是 一 个 服务 ， 你 可 以 透 过 『chkconfig --list iptablesJ4 去 察 
看 就 知道 


了 。 因此， 你 这 次 修改 的 各 种 设 定 想 要 在 下 次 开机 还 保存 ， 那 就 得 要 
进行 


『 /etc/init.d/iptables save 4 这 个 指令 加 参数 。 因 此 ， 乌 哥 现在 都 是 将 
储存 的 动 


作 写 入 这 个 firewall.sh 脚本 中 ， 比 较 单 纯 些 史 ! 现在 ， 你 的 Linux 主 
机 已 经 有 相当 


的 保护 了 ， 只 是 如 采 想 要 作为 服务 郁 ， 或 者 是 作为 路 由 器 ， 那 吏 得 要 
目 行 加 上 某 些 目 


定义 的 规则 哆 。 


Tips: 

老实 说 ， 如 果 你 对 Linux 够 熟悉 的 话 ， 直 接 去 修改 
/etc/sysconfig/iptables 然后 将 iptables 这 个 服务 restart， 

那 你 的 防火 墙 规则 就 是 会 在 开机 后 持续 存在 哆 ! 不 过 ， 乌 哥 个 人 还 
是 喜欢 写 scripts 就 是 了 。 

制订 好 规则 后 当然 就 是 要 测试 史 ! 那么 如 何 测 试 呢 ? 

1. 先 由 主机 向 外 面 主动 联机 试看 看 ; 

2. 再 由 私有 网 域内 的 PC 向 外 面 主动 联机 试看 看 ; 

3. 最 后 ， 由 Intermet 上 面 的 主机 ， 主 动 联机 到 你 的 Linux 主机 试看 看 ; 
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一 步 一 步 作 下 来 ， 看 看 问题 出 在 哪里 ， 然 后 多 多 的 去 改进 、 改 民 ! 基 
本 上 ， 网 络 上 


目前 很 多 的 资料 可 以 提供 你 不 错 的 参考 了 ! 这 一 篇 的 设 定 写 的 是 很 商 
单 ， 大 部 分 都 还 


在 介绍 阶段 而 已 ! 希望 对 大 家 有 帮助 ! 乌 哥 在 参考 数据 ( 注 2) 当 中 驳 
Hs 六 


火 墙 网 页 ， 希望 大 家 有 空 真 的 要 多 多 的 去 看 看 ! 会 很 有 帮助 的 ! 
9.3.5 IPv4 的 核心 管理 功能 : /proc/sys/net/ipv4/* 


除了 iptables 这 个 防火 墙 软件 之 外 ， 其 实 咱 们 Linux kernel 2.6 提供 很 
多 核心 
力作 


预 设 的 攻击 抵挡 机 制 喔 ! 由 于 是 核心 的 网 络 功能 ， 所 以 相关 的 设 定数 
据 都 是 放置 在 


/proc/sys/net/ipv4/ 这 个 目录 当中 。 至 于 该 目 了 永 下 各 个 档案 的 详细 资 
料 ， 可 以 参考 


核心 的 说 明文 件 (你 得 要 先 安 六 kernel-doc 软件 ): 
0 


/usr/share/doc/kernel-doc-2.6.32/Documentation/networking/ip-sysctl.t 


xt 
乌 哥 这 里 也 放 一 份 备份 : 
0 


http:/linux.vbird.org/linux server/0250simple firewall/ip-sysctl.txt 


有 兴趣 的 话 应 该 要 目 行 去 查 一 查 比 较 好 的 喔 ! 我 们 底下 惑 拿 几 个 商 单 
的 档案 来 作 说 


明 吧 ! 
0 


/proc/sys/net/ipv4/tcp_syncookies 


我 们 在 剖 一 革 谈 到 所 训 的 阴 灶 式 服 务 (DoS) 攻击 法 当中 的 一 种 方式 ， 
束 是 利用 


TCP 封包 的 SYN 三 回 交 
Flooding 。 那 如 


何 预防 这 种 方式 的 攻击 呢 ? 我 们 可 以 局 用 核心 的 SYN Cookie 模块 
啊 ! 这 个 


SYN Cookie 模块 可 以 在 系统 用 来 启动 随机 联机 的 井口 (1024:65535) 即 


将 用 完 
时 目 动 局 动 。 


当 启 动 SYN Cookie 时 ， 主 机 在 发 送 SYN/ACK 确认 封包 前 ， 会 要 求 
Client 端 


在 短 时 间 内 回复 一 个 序号 ， 这 个 序号 包含 许多 原本 SYN 封包 内 的 信 
忌 ， 包括 IP、 


port 等 。 帮 Client 端 可 以 回复 正确 的 序号 ， 那 么 主机 束 确 定 该 封包 为 
可 信和 的 ， 


因此 会 发 送 SYN/ACK 封包 ， 否 则 就 不 理会 此 一 封包 。 


透 过 此 一 机 制 可 以 大 大 的 降低 无 效 的 SYN 等 待 埋 口 ， 而 避免 SYN 
Flooding 的 


DoS 攻击 说 ! 那么 如 何 局 动 这 个 模块 呢 ? 很 简单 ， 这 样 做 即 可 : 


这 种 方式 称 为 SYN 
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[root@www ~l]# echo "1" > /proc/sys/net/ipv4/tcp_syncookies 


但 是 这 个 设 定 值 由 于 违反 TCP 的 三 向 交 握 (因为 主机 在 发 送 
SYN/ACK 之 前 需 


要 先 等 得 client 的 序号 啊 应 )， 所 以 可 能 会 造成 菜 些 服务 的 延迟 现象， 
例如 


SMTP (mail server)。 不 过 总 的 来 说 ， 这 个 设 定 值 还 是 不 错 用 的 ! 只 是 
不 适合 


用 在 负载 已 经 很 高 的 服务 器 内 喔 ! 因为 负载 太 高 的 主机 有 时 会 让 核心 


充 判 遭受 


SYN Flooding 的 攻击 呢 。 
如 果 是 为 了 系统 的 TCP 封包 联机 优化 ， 则 可 以 参考 


tcp_max_syn_backlog, 

tcp_synack_retries, tcp_abort_on_overflow 这 儿 个 议定 值 交 语义 3 
[ 

/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 


阻 断 式 服务 常见 的 是 SYN Flooding ， 不 过 ， 我 们 知道 系统 其 实 可 以 接 
受 使 用 


ping 的 啊 应 ， 而 ping 的 封包 数据 量 是 可 以 给 很 大 的 ! 想象 一 个 状 
况 ， 如 采 


有 个 搞 破 坏 的 人 使 用 1000 台 主 机 传送 ping 给 你 的 主机 ， 而 且 每 个 
ping 都 高 


达 数 百 Kbytes 时 ， 你 的 网 络 市 宽 会 怎样 ? 要 嘛 就 是 市 宽 补 吃 光 ， 要 
嘛 可 能 系 


统 会 当 机 ! 这 种 方式 分 别 被 称 为 ping flooding (不 断 发 ping) 及 ping of 
death (发 送 大 的 ping 封包 ) 。 


那 如 何 避 免 呢 ? 取消 ICMP 类 型 8 的 ICMP 封包 回应 就 是 了 。 我 们 可 


这 也 是 比较 建议 的 方式 。 当 然 也 可 以 让 核心 目 动 取消 
ping 的 吧 


应 。 不 过 你 必须 要 了 解 ， 某 些 局 域 网 络 内 常见 的 服务 (例如 动态 卫 分 
配 DHCP 


0 ping 的 方式 来 侦 测 是 否 有 重复 的 IP ， 所 以 你 最 好 不 要 取 
请 


的 ping 啊 应 比较 好 。 

核心 取消 ping 回应 的 设 定 值 有 两 个 ， 分 别 是 : /proc/sys/net/ipv4 内 的 
icmp_echo_ignore_broadcasts ( 仅 有 ping broadcast 地 址 时 才 取 消 ping 的 
回应 ) 及 icmp_echo_ignore_all (全 部 的 ping 都 不 回应 )。 乌 哥 建 议 设 定 


icmp_echo_ignore_broadcasts 束 好 了 。 你 可 以 这 么 做 ; 
[root@www ~]# echo "1" >、 

> /proc/sys/net/ipv4M/icmp_echo_ignore_broadcasts 

[ 

/proc/sys/net/ipv4/conf/ 网 络 接 口 /* 


虽 们 的 核心 还 可 以 针对 不 同 的 网 络 接口 进行 不 一 样 的 参数 设 定 喔 ! 网 
络 接口 的 相 


关 设 定 放 置 在 /proc/sys/net/ipv4/conf/ 当中 ， 每 个 接口 都 以 接口 代号 做 
为 其 
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代表 ， 例 如 eth0 接口 的 相关 设 定 数据 在 /proc/sys/net/ipv4/conf/eth0/ 
内 o 


那么 网 络 接口 的 设 定数 据 有 哪些 比较 需要 注意 的 呢 ? 大 概 有 底下 这 几 
个 
三: 


0 rp_filter: 称 为 刻 癌 路径 过 滤 (Reverse Path Filtering)， 可 以 
厌 由 分 析 网 络 接口 的 路 由 信息 配合 封包 的 来 源 地 址 ， 来 分 析 该 封包 是 


否 为 
合理 。 举 例 来 说 ， 你 有 两 张 网 卡 ，eth0 为 192.168.1.10/24 ，eth1 为 
public IP 。 那 么 当 有 一 个 封包 自称 来 自 eth1 ， 但 是 其 IP 来 源 为 
192.168.1.200 ， 那 这 个 封包 就 不 合理 ， 应 予以 丢弃 。 这 个 设 定 值 建议 
可 以 启动 的 。 

o log_martians: 这 个 设 定数 据 可 以 用 来 局 动 记 录 不 合法 的 卫 来 源 ， 
举例 来 说 ， 包 括 来 源 为 0.0.0.0、127.x.x.x、 及 ClassE 的 IP 来 源 ， 
因为 这 些 来 源 的 IP 不 应 该 应 用 于 Internet 啊 。 记录 的 数据 默认 放置 
到 核心 放置 的 登录 档 /vavlog/messages。 

0 accept_source_route: 或 许 某 些 路 由 器 会 启动 这 个 设 定 值 ， 不 过 目 
前 的 设备 很 少 使 用 到 这 种 来 源 路 由 ， 你 可 以 取消 这 个 设 定 值 。 

0 accept_redirects: 当 你 在 同一 个 实体 网 域内 架设 一 部 路 由 器 ， 但 

这 个 实体 网 域 有 两 个 IP 网 域 ， 例 如 192.168.0.0/24, 192.168.1.0/24。 
此 时 你 的 192.168.0.100 想 要 向 192.168.1.100 传送 讯息 时 ， 路 由 器 可 
能 会 传送 一 个 ICMP redirect 封包 告知 192.168.0.100 直接 传送 数据 

给 192.168.1.100 即 可 ， 而 不 需 透 过 路 由 硕 。 因 为 192.168.0.100 与 


192.168.1.100 确实 是 在 同一 个 实体 线路 上 (两 者 可 以 直接 互通 )， 所 以 


路 由 器 会 告知 来 源 IP 使 用 最 短路 径 去 传递 数据 。 但 那 两 部 主机 在 不 同 
的 


IP 段 ， 却 是 无 法 实际 传递 讯息 的 ! 这 个 设 定 也 可 能 会 产生 一 些 轻微 的 
安 


全 风险 ， 所 以 建议 关闭 他 。 

0 send_redirects: 与 上 一 个 类 似 ， 只 是 此 值 为 发 送 一 个 ICMP 
redirect 封包 。 同样 建议 关闭 。( 事 实 上 ， 乌 哥 就 曾经 为 了 这 个 ICMP 
redirect 的 问题 伤 脑筋 ! 其 实 关 闭 redirect 的 这 两 个 项 目 即 可 啊 ! ) 
虽然 你 可 以 使 用 『 echo "1" > /proc/sys/net/ipv4/conf/???/rp_filter J 之 


类 的 方法 来 启动 这 个 项 目 ， 不 过 ， 乌 哥 比 较 建议 修改 系统 设 定 值 ， 那 
就 是 


/etc/sysctl.conf 这 个 档案 ! 假设 我 们 仅 有 eth0 这 个 以 太 接 口 ， 而 且 上 壕 
的 


功能 要 通通 局 动 ， 那 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/sysctl.conf 

# Adding by VBird 2011/01/28 
net.ipv4.tcp_syncookies = 1 
net.ipv4.icmp_echo ignore_broadcasts = 1 
net.ipv4.conf.all.rp_filter = 1 
net.ipv4.conf.default.rp_filter = 1 


net.ipv4.conf.ethO.rp_filter = 1 
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| 
| ethl eth0 
92.168.100.0/24 (or ppp0) 


| 
NV Private Public ae 
domain domain 政 搜 左 


| 
| 
| 
! 
| 
| 
| 


Linux 
Firewall/Router 


内 部 区 域 秽 路 (LAN) 


net.ipv4.conf.lo.rp_filter = 1 
(以 下 省 略 ),,, 
[root@www ~]# sysctl -p 
9.4 单机 防火 墙 的 一 个 实例 


ee 百 ， 终 于 要 来 架设 防火 
划 了 哥 还 


苹 比 较 偏好 使 用 脚本 来 撰写 防火 墙 ， 然 后 透 过 最 终 的 


/etc/init.d/iptables save 来 


将 结果 储存 到 /etc/sysconfig/iptables 去 ! 而 且 此 一 特色 还 可 以 用 在 呼 
叫 其 他 的 


scripts ， 可 以 让 防火 墙 规 则 具有 较为 灵活 的 使 用 方式 。 好 了 ， 那 就 来 
谈 谈 如 何 设 定 


咱们 的 防火 墙 规则 吧 ! 
9.4.1 规则 草拟 


马 哥 的 下 介绍 的 这 个 防火 墙 ， 其实 可 以 用 来 作为 路 由 右上 的 防火 墙 ， 
也 可 以 用 来 作 


为 本 机 的 防火 墙 。 假设 硬件 联机 如 同 下 图 所 示 ， Linux 主机 本 身 也 是 
内 部 LAN 的 路 


由 器 ! 尔 即 是 一 个 简单 的 卫 分 至 狼 欠 
假设 乌 哥 网 络 


接口 有 床下 这 些 : 


0D 外 部 网 络 使 用 eth0 (如 果 是 拨 接 ， 有 可 能 是 ppp0， 请 针对 你 的 环境 
来 设 定 ); 


0 内 部 网 络 使 用 eth1 ， 且 内 部 使 用 192.168.100.0/24 这 个 Class ; 
0 主机 默认 开放 的 服务 有 WWW, SSH, https 等 等 ; 
9.4-1、 一 个 局 域 网 络 的 路 由 器 架构 示意 图 
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先 届 定时 多 各 境 参 数 ， 
包括 秽 路 介面 、LAN 等 


核心 钢 路 功能 的 设 定 
jprocisysinetiipv dt 


定 蒜 基础 茜 设 政策 
总 天 放 lo 介面 的 登 六 
芒 纲 本 机 相关 的 封包 可 进 人 人 


下 符合 


其 他 抵挡 模 租 
Ex> 欢 站 载 肌 iptables.http 


下 符 世 


不 通过 本 机 检 驴 的 直接 去 泰 


由 于 布 望 将 信任 网 域 CLAN) 与 不 信任 网 域 (Internet) 整个 分 开 的 完整 一 
点 ， 所 


以 硕 望 你 可 以 在 Linux 上 面 安 痛 两 块 以 上 的 实体 网 卡 ， 将 两 块 网 卡 接 
在 不 同 的 网 域 ， 


这 样 可 以 避免 很 多 问题 。 至 于 最 重要 的 防火 增 政 策 征 : 【关闭 所 有 的 
联机 ， 仅 开放 特 


定 的 服务 4 模式 。 而 且 假 设 内 部 使 用 者 已 经 受过 良好 的 训练 ， 因 此 在 
filter table 的 


三 条 链 个 预 设 政策 是 : 

DINPUT 为 DROP 

DOUTPUT 及 FORWARD 为 ACCEPT 

乌 哥 底下 预计 提供 的 防火 墙 流程 是 这 样 的 : 

图 9.4-2、 本 机 的 防火 墙 规则 流程 示意 图 

原则 上 ， 内 部 LAN 主机 与 主机 本 身 的 开放 度 很 高 ， 因 为 Output 与 


Forward 是 完 


全 开放 不 理 的 ! 对 于 小 家 庭 的 主机 是 可 以 接受 的 ， 因 为 我 们 内 部 的 计 
算 机 数量 不 多 ， 而 
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且 人 员 都 是 熟悉 的 ， 所 以 不 需要 特别 加 以 探 管 ! 但 是 【在 大 企业 的 
内 部 ， 这 样 的 规 


0 0 
来 使 用 


Network ! J 了 也 就 是 说 『 家 贼 难 防 J 呀 ! 因此 ， 那 样 的 环境 连 Outpnut 
与 Forward 都 


需要 特别 加 以 管理 才 行 ! 
9.4.2 实际 设 定 


事实 上 ， 我 们 在 设 定 防 火 墙 的 时 候 ， 不 太 可 能 会 一 个 一 个 指令 的 输 
入 ， 通 第 是 利用 


shell scripts 来 帮 有 我 们 达成 这 样 的 功能 呐 ! 属 下 是 利用 上 面 的 流程 图 所 
规划 出 来 的 防 


火 寺 脚 本 ， 你 可 以 参考 看 看 ， 但 是 你 需要 将 环境 修改 成 适合 你 目 己 的 
环境 才 行 喔 ! 此 


外 ， 为 了 未 来 修改 维护 的 方便 ， 马 哥 将 整个 script 拆 成 三 部 分 ， 分 别 
是 : 


D iptables.rule: 设 定 最 基本 的 规则 ， 包 括 清 除 防火 墙 规 则 、 加 载 模 
> 


定 服务 可 接受 等 
D iptables.deny: 设 定 抵挡 某 些 恶意 主机 的 进入 
Diptables.allow: 设 定 允许 某 些 目 定 义 的 后 门 来 源 主机 ! 


鸟 哥 个 人 习惯 是 将 这 个 脚本 放置 到 /usr/local/virus/iptables 目录 下 ， 你 
也 可 


以 目 行 放置 到 目 己 习惯 的 位 置 去 。 那 打下 束 来 瞎 瞧 这 文 脚 本 钙 怎 么 写 
的 吧 ! 


[root@www ~]# mkdir -p /usr/local/virus/iptables 
[root@www ~]# cd /usr/local/virus/iptables 

[root@www iptables]# vim iptables.rule 

#!/bin/bash 

# 请 先 输入 您 的 相关 参数 ， 不 要 输入 错误 了 | 
EXTIF="eth0" # 这 个 是 可 以 连 上 Public IP 的 网 络 接口 


INIF="eth1"# 内 部 LAN 的 连接 接口 ; 


奉 无 则 写成 INIF="" 
INNET="192.168.100.0/24"# 知 无 内 部 网 域 接 口 ， 请 填写 成 INNET="" 
export EXTIF INIF INNET 
# 第 一 部 份 ， 针 对 本 机 的 防火 墙 设 定 ! 

###### 村 ## 检 间 ## 检 ## 检 #### 闪 ## 六 ## 检 六 样 检 并 检 ## 样 术 样 村 ## 检 并 替 检 ## 检 并 替 间 样 术 
#1. 先 设 定好 核心 的 网 络 功 能 : 
echo "1" > /proc/sys/net/ipv4/tcp_syncookies 
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
for i in /proc/sys/net/ipv4/conf/*/{rp_filter,log_martians}; do 
echo "1" > $i 
done 
for i in 
/proc/sys/net/ipv4/conf{/*/{accept_source_route,accept_redirects,\ 
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send_redirects}: do 
echo "0" > $i 
done 
# 2. 清除 规则 、 设 定 默 认 政 策 及 开放 lo 与 相关 的 设 定 值 
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin: 


export PATH 


iptables -F 

iptables -X 

iptables -Z 

iptables -P INPUT DROP 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD ACCEPT 

iptables -A INPUT -i lo -j ACCEPT 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
# 3. 启动 额外 的 防火 墙 script 模块 

if [ -f /usr/local/virus/iptables/iptables.deny ]; then 
sh /usr/local/virus/iptables/iptables.deny 

fi 

if [ -f /usr/local/virus/iptables/iptables.allow ]; then 
sh /usr/local/virus/iptables/iptables.allow 

fi 

if [ -f /usr/local/virus/httpd-err/iptables.http ]; then 
sh /usr/local/virus/httpd-err/iptables.http 

fi 

# 4. 人 允许 某 些 类 型 的 ICMP 封包 进入 


AICMP="0 3 3/4411 12 14 16 18" 


for tyicmp in $AICMP 

do 

iptables -A INPUT -i $EXTIF -p icmp --icmp-type $tyicmp -j ACCEPT 
done 

# 5. 允许 某 些 服务 的 进入 ， 请 依照 你 自己 的 环境 开启 

# iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j 
ACCEPT#FTP 

# iptables -A INPUT -p TCP -i $EXTIF --dport 22 --sport 1024:65534 -j 
ACCEPT # SSH 

# iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j 
ACCEPT#SMTP 

# iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j 
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ACCEPT #DNS 

# iptables -A INPUT -p TCP -i $EXTIF --dport 53 --Sport 1024:65534 -j 
ACCEPT #DNS 

# iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j 
ACCEPT#WWW 

# iptables -A INPUT -p TCP -i $EXTIF --dport 110 --sport 1024:65534 -j 


ACCEPT # POP3 


# iptables -A INPUT -p TCP -i $EXTIF --dport 443 --sport 1024:65534 -j 
ACCEPT # HTTPS 

# 第 二 部 份 ， 

针对 后 端 主机 的 防火 墙 设 定 |! #4H 直 HHHHHHHHHHHH 和 HHH 和 ## 
#1. 先 加 载 一 些 有 用 的 模块 

modules="ip_tables iptable_nat ip_nat_ftp ip_nat_irc ip_conntrack 
ip_conntrack_ftp ip_conntrack_irc" 

for mod in $modules 

do 


testmod= lsmod | grep "^${mod} "| awk '{print $1}"f [ "$testmod" == "" J; 
then 


modprobe $mod 

fi 

done 

# 2. 清除 NAT table 的 规则 吧 ! 

iptables -F -t nat 

iptables -X -t nat 

iptables -Z -t nat 

iptables -t nat -P PREROUTING ACCEPT 


iptables -t nat -P POSTROUTING ACCEPT 


iptables -tnat -P OUTPUT ACCEPT 
# 3. 若 有 内 部 接口 的 存在 ( 双 网 卡 ) 开放 成 为 路 由 器 ， 且 为 中 分 享 器 


if [ "$INIF" != "" ]; then 


iptables -A INPUT -i $INIF -j ACCEPT 
echo "1" > /proc/sys/net/ipv4/ip_forward 
if [ "$INNET" != "" ]; then 

for innet in $INNET 

do 

iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j 
MASQUERADE 

done 

fi 

fi 
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# 如 条 你 的 MSN 一 直 无 法 联机 ， 或 者 是 有 某 些 网 站 OK 某 些 网 站 不 
OK， 


# 可 能 是 MTU 的 问题 ， 


那 你 可 以 将 的 下 这 一 行 给 他 取消 批注 来 局 动 MTU 限 


# iptables -A FORWARD -ptcp -m tcp --tcp-flags SYN,RST SYN -m 
tcpmss 


\ 

# --mss 1400:1536 -j] TCPMSS --clamp-mss-to-pmtu 

# 4. NAT 服务 器 后 端的 LAN 内 对 外 之 服务 器 设 定 

# iptables -t nat -A PREROUTING -p tcp -i $SEXTIF --dport 80 \ 
# -j DNAT --to-destination 192.168.1.210:80 # WWW 


# 5. 特殊 的 功能 ， 包 括 Windows 远程 扣 面 所 产生 的 规则 ， 假 设 保 面 主 
机 为 


1.2.3.4 


# iptables -t nat -A PREROUTING -ptcp -s 1.2.3.4 --dport 6000 \ 
# -] DNAT --to-destination 192.168.100.10 

# iptables -t nat -A PREROUTING -ptcp -s 1.2.3.4 --sport 3389 \ 
# -] DNAT --to-destination 192.168.100.20 

# 6. 最 终 将 这 些 功能 储存 下 来 吧 | 

/etc/init.d/iptables save 


特别 留意 上 面 程序 代码 的 特殊 字体 部 分 ， 基 本 上 ， 你 只 要 修改 一 下 最 
上 方 的 接口 部 分 ， 

应 该 下 能 够 运作 这 个 防火 墙 了 。 不 过 因为 每 个 人 的 环境 都 不 相同 ， 因 
此 你 在 设 定 完 成 

后 ， 依 旧 需 要 测试 一 下 才 行 喔 ! 不 然 ， 出 了 问题 不 要 怪我 啊 ! .… 再 来 
看 一 下 关于 


iptables.allow 的 内 容 是 如 何 ? 假如 我 要 让 一 个 140.116.44.0/24 这 个 网 
域 的 所 有 


J 以 进入 我 的 主机 的 话 ， 那 么 这 个 档案 的 内 容 可 以 写成 这 
f: 


[root@www iptables]# vim iptables.allow 

#!/bin/bash 

# 底下 则 填写 你 允许 进入 本 机 的 其 他 网 域 或 主机 啊 ! 
iptables -A INPUT -i $EXTIF -s 140.116.44.0/24 -j ACCEPT 
# 说 下 则 是 关于 抵挡 的 档案 设 定 法 ! 

[root@www iptables]# vim iptables.deny 

#!/bin/bash 

# 底下 填写 的 是 『 你 要 抵挡 的 那个 噬 吗 ! 4 


iptables -A INPUT -i $EXTIF -s 140.116.44.254 -j DROP 


[root@www iptables]# chmod 700 iptables.* 


iptables.rule 哎 ! 不 过 要 注意 的 是 ， 在 上 面 的 案例 当中 ， 乌 哥 预 设 将 所 
有 的 服务 的 
通道 都 是 关闭 的 ! 
注 符 听 I (#) 解 
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开 才 行 。 同 样 的 ， 如 果 有 其 他 更 多 的 port 想 要 开启 时 ， 一 样 需 要 增加 
额外 的 规则 才 


行 吗 ! 


不 过 ， 还 是 如 同 前 面 我 们 所 说 的 ， 这 个 firewall 仅 能 提供 基本 的 安全 
防护 ， 其 他 


的 相关 问题 还 需要 再 测试 测试 呢 ! 此 外 ， 如 果 你 希望 一 开机 就 自动 执 
行 这 个 script 的 


话 ， 请 将 这 个 档案 的 完整 档 名 写 入 /etc/rc.d/rc.local 当中 ， 有 点 像 压 下 
这 样 


[root@www ~]# vim /etc/rce.d/rc.local 
.…( 其 他 省 略 )..… 

# 1. Firewall 
/usr/local/virus/iptables/iptables.rule 


事实 上 ， 这 个 脚本 的 最 故 下 已 经 加 入 写 入 防火 墙 默 认 规则 文件 的 功 
能 ， 所 以 你 只 要 执行 


一 次 ， 束 拥有 最 正确 的 规则 了 ! 上 述 的 rc.local 仅 是 预防 万 一 而 已 。 
人 AL 上 上 还 三 


个 档案 请 你 不 要 在 Windows 系统 上 面 编 辑 后 才 传 送 到 Linux 上 运作 ， 
因为 Windows 


系统 的 断 行 字符 问题 ， 将 可 能 导致 该 档案 无 法 执行 。 建议 你 直接 到 底 
下 去 下 载 ， 传 送 到 


Linux 后 可 以 利用 dos2unix 指令 去 转换 断 行 字符 ! 就 不 会 有 问题 ， 


这 束 古 一 个 最 简单 、 阳 春 的 防火 墙 。 同 时 ， 这 个 防火 墙 还 可 以 具有 最 
阳春 的 了 分 


享 器 的 功能 呢 ! 也 就 是 在 iptables.rule 这 个 档案 当中 的 第 二 部 分 了 。 
这 部 分 我 们 


在 下 一 节 会 再 继续 介绍 的 。 
9.5 NAT 服务 器 的 设 定 


呼 呼 ! 终于 来 到 这 个 地 方 了 ! 我 们 准备 要 架设 一 个 路 由 改 的 延 
釉 ， 束 称 之 为 


NAT 服务 器 。 NAT 是 什么 呢 ? 简单 的 说 ， 你 可 以 称 他 为 内 部 LAN 主 
机 的 『 IP 分享 器 J 


啦 ! 


NAT 的 全 名 是 Network Address Translation， 字 面 上 的 意思 是 『 网 络 地 
址 的 转换 〗。 


由 字面 上 的 意思 我 们 来 想 一 想 ， TCP/IP 的 网 络 封 包 不 是 有 IP 地 址 
吗 ? 那 IP 地 址 不 


9 ee 目的 吗 ? 我 们 的 iptables 指令 殉 能 够 修改 IP 封包 的 表 头 数 
居 ， 曝 嘿 ! 


连 目标 或 来 源 的 卫 地址 都 可 以 修改 呢 ! 甚至 连 TCP 封包 表 头 的 port 


number 也 能 修 


改 ! 真是 有 趣 ! 


绍 的 DMZ ( 非 军事 区 ) 的 功能 ! 这 完全 取决 


是 修改 : (1) 来 源 IP 还 是 (2) 目 标 卫 ! 底下 我 们 就 来 聊 一 聊 吧 ! 和 和 ^ 


net.qiang(Ohotmail.com 


0 


9.5.1 什么 是 NAT? SNAT? DNAT? 


在 谈 到 NAT 的 实际 运作 之 前 ， 让 我 们 再 来 看 一 下 比较 简单 的 封包 透 过 
iptables 


而 传送 到 后 端 主机 的 表格 与 链 流 程 (请 往 前 参考 图 9.3-4) 。 当 网 络 布线 
如 图 9.1-2 的 


架构 ， 吞 内 部 LAN 有 任何 一 部 主机 想 要 传送 封包 出 去 时 ， 那么 这 个 
封包 要 如 何 透 过 


Linux 主机 而 传送 出 去 ?他 是 这 样 的 : 
1. 先 经 过 NAT table 的 PREROUTING 链 ; 


2. 经 由 路 由 判断 确定 这 个 封包 十 要 进入 本 机 与 否 ， 帮 不 进入 本 机 ， 则 
2 


3. 再 经 过 Filter table 的 FORWARD 链 :; 
4. 通过 NAT table 的 POSTROUTING 链 ， 最 后 传送 出 去 。 


NAT 服务 器 的 重点 就 在 于 上 面 流程 的 第 1,4 步骤 ， 也 就 是 NAT table 
的 两 条 重要 


的 链 : PREROUTING 与 POSTROUTING 。 那 这 两 条 链 有 什么 重要 的 
功能 呢 ? 重点 在 于 修改 


IP 嘛 ! 但 是 这 两 条 链 修改 的 卫 是 不 一 样 的 ! POSTROUTING 在 修改 
来 源 IP ， 


PREROUTING 则 在 修改 目标 IP 。 由 于 修改 的 卫 不 一 样 ， 所 以 就 称 
为 来 源 NAT 


(Source NAT SNAT) 及 目标 NAT (Destination NAT DNAT)。 我 们 先 来 
谈 一 谈 卫 分 


享 器 功能 的 SNAT 吧 ! 
吕 


来 源 NAT SNAT: 修改 封包 表 头 的 『 来 源 4 项目 


你 应 该 有 上 听 说 过 了 分 享 器 这 个 玩意 儿 ， 他 可 以 让 你 家 庭 里 的 好 几 部 主 
机 同时 透 

过 一 条 ADSL 网 络 联机 到 Internet 上 面 ， 
说 ， 那 


个 Linux 主机 就 是 IP 分 至 器 啦 ! 那么 他 是 如 何 达 到 IP 分 至 的 功能 ? 
就 是 透 


过 NAT 表格 的 POSTROUTING 
9.1-2 所 示 


那么 NAT 服务 器 是 如 何 处 理 这 个 封包 的 呢 ? 
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9.5-1、SNAT 封包 传送 出 去 的 示意 图 


如 上 图 所 示 ， 在 客户 端 192.168.1.100 这 部 主机 要 联机 到 
http://tw.yahoo.com 去 时 ， 他 的 封包 表 头 会 如 何 变化 ? 

1. 客户 端 所 发 出 的 封包 表 头 中 ， 来 源 会 是 192.168.1.100 ， 然 后 传送 
到 NAT 这 部 主机 .; 

2. NAT 这 部 主机 的 内 部 接口 (192.168.1.2) 接收 到 这 个 封包 后 ， 会 主 


动 分 析 表 类 数 据 ， 因为 表 头 数据 显示 目的 并 非 Linux 本 机 ， 所 以 开始 
人 


过 路 由 ， 将 此 封包 转 到 可 以 连接 到 Internet 的 Public IP 处 ; 

3. 由 于 private IP 与 public IP 不 能 互通 ， 所 以 Linux 主机 透 过 
iptables 的 NAT table 内 的 Postrouting 链 将 封包 表 头 的 来 源 伪 装 成 

为 Linux 的 Public IP ， 并 且 将 两 个 不 同 来 源 (192.168.1.100 及 

public IP) 的 封包 对 应 写 入 暂 存 内 存 当 中 ， 然后 将 此 封包 传送 出 去 了 ; 


此 时 Internet 上 面 看 到 这 个 封包 时 ， 都 只 会 知道 这 个 封包 来 目 那 个 
Public IP 


而 不 知道 其 实 是 来 利 内 部 啦 。 好 了 ， 那 么 如 果 Internet 回 传 封包 呢 ? 
又 会 怎 


么 作 ? 
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图 9.5-2、SNAT 封包 接收 的 示意 图 

4. 在 Internet 上 面 的 主机 接 到 这 个 封包 时 ， 会 将 响应 数据 传送 给 那个 
Public IP 的 主机 .; 

5. 当 Linux NAT 服务 器 收 到 来 自 Internet 的 回应 封包 后 ， 会 分 析 该 


封包 的 序号 ， 并 比 对 刚刚 记录 到 内 存 当 中 的 数据 ， 由 于 发 现 该 封包 为 


口 
端 主机 之 前 传送 出 去 的 ， 因 此 在 NAT Prerouting 链 中 ， 会 将 目标 卫 修 
改 成 为 后 端 主机 ， 亦 即 那 部 192.168.1.100， 然 后 发 现 目标 已 经 不 是 本 
机 


(public IP)， 所 以 开始 透 过 路 由 分 析 封 包 流 辣 


6. 封包 会 传送 到 192.168.1.2 这 个 内 部 接口 ， 然 后 再 传送 到 最 终 目 标 


192.168.1.100 机 器 上 去 ! 


经 过 这 个 流程 ， 你 就 可 以 发 现 到 ， 所 有 内 部 LAN 的 主机 都 可 以 透 过 
这 部 NAT 服 


务 絮 联机 出 去 ， 而 大 家 在 Intermet 上 面 看 到 的 都 是 同一 个 IP (就 是 
NAT 那 


部 主机 的 public IP 啦 ! )， 所 以 ， 如 果 内 部 LAN 主机 没有 连 上 不 明 网 
站 的 话 ， 


那么 内 部 主机 其 实 是 具有 一 定 程度 的 安全 性 的 啦 ! 因为 nternet 上 的 
其 他 主 


机 没有 办 法 主动 攻击 你 的 LAN 内 的 PC 嘛 ! 所 以 我 们 才 会 说 ，NAT 
最 简单 的 功 


能 就 是 类 似 IP 分 享 器 啦 ! 那 也 是 SNAT 的 一 种 。 


Tips: 
NAT 服务 器 与 路 由 器 有 只 不 同 ? 基本 上 ，NAT 服务 器 一 定 是 路 由 器 ， 
不 过 ， NAT 服务 器 由 于 会 修改 IP 表 头 数据 ， 因此 与 单纯 转 递 雪 

包 的 路 由 器 不 同 。 最 常见 的 IP 分 享 器 就 是 一 个 路 由 器 ， 但 是 这 个 

IP 分 享 器 一 定 会 有 一 个 Public IP 与 一 个 Private IP， 让 LAN 内 

的 Private IP 可 以 透 过 IP 分 享 屁 的 Public IP 传送 出 去 喔 ! 至 


于 路 由 器 通常 两 边 都 是 Public IP 或 同时 为 Private IP 。 
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S: 01.XX,XXXX 


Dport: SO 


Dpubliodp 
D: 192.168.1.210 


0 
目标 NAT DNAT: 修改 封包 表 头 的 了 目标 」 项 目 


SNAT 主要 是 应 付 内 部 LAN 连接 到 Internet 的 使 用 方式 ， 至 于 DNAT 
则 主要 用 


在 内 部 主机 想 要 架设 可 以 让 Internet 存 取 的 服务 器 啦 ! 
9.1-4 


的 DMZ 内 的 服务 器 啊 ! 底下 也 先 来 谈 一 谈 DNAT 的 运作 吧 ! 
9.5-3、DNAT 的 封包 传送 示意 图 


如 上 图 所 示 ， 假 设 我 的 内 部 主机 192.168.1.210 启动 了 WWW 服务 ， 
这 个 服务 的 


port 开启 在 port 80 ， 那 么 Internet 上 面 的 主机 (61.xx.xx.xx) 要 如 何 连 


接 到 我 的 内 部 服务 器 呢 ? 当 然 啦 ， 还 是 得 要 透 过 Linux NAT 服务 天 
啤 ! 所 以 这 


部 Internet 上 面 的 机 器 必须 要 连接 到 我 们 的 NAT 的 publicIP 才 行 。 


4. 外 部 主机 想 要 连接 到 目的 端的 WWW 服务 ， 则 必须 要 连接 到 我 们 的 
NAT 服务 器 


ee 


5. 我 们 的 NAT 服务 器 已 经 设 定好 要 分 析出 port 80 的 封包 ， 所 以 当 
NAT 服务 


器 接 到 这 个 封包 后 ， 会 将 目标 IP 由 public IP 改 成 192.168.1.210 ， 且 
将 该 封包 


相关 信息 记录 下 来 ， 等 待 内 部 服务 器 的 啊 应 ; 


6. 上 述 的 封包 在 经 过 路 由 后 ， 来 到 private 接口 处 ， 然 后 透 过 内 部 的 
LAN 传送 


到 192.168.1.210 上 头 ! 
7. 192.186.1.210 会 响应 数据 给 61.xx.xx.xx ， 这 个 回应 当然 会 传送 到 
192.168.1.2 上 头 去 ; 


经 过 路 由 判断 后 ， 来 到 NAT Postrouting 的 链 ， 然 后 透 过 刚刚 第 二 步 
中 的 记 


录 ， 将 来 源 IP 由 192.168.1.210 改 为 public IP 后 ， 就 可 以 传送 出 去 


丁 | 


其 实 整个 步骤 几乎 束 等 于 SNAT 的 反 辐 传送 哩 ! 这 就 是 DNAT 哆 ! 很 
简单 吧 | 
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9.5.2 最 阳春 NAT 服务 器 : IP 分 享 功能 


在 Linux 的 NAT 服 
他 储 功 


能 了 。 而 由 刚刚 的 介绍 你 也 该 知道 ， 这 个 PP 分享 器 的 功能 其 实 就 是 
SNAT 啦 ! 作用 


束 只 是 在 iptables 内 的 NAT 表格 当中 ， 那 个 路 由 后 的 POSTROUTING 
链 进 行 IP 的 伪 


装束 是 了 。 另 外 ， 你 也 必须 要 了 解 ， 你 的 NAT 服务 需 必 须要 有 一 个 
public IP 接口 ， 


以 及 一 个 内 部 LAN 连接 的 private IP 接口 才 行 。 底 下 的 范例 中 ， 乌 哥 
的 假设 是 这 样 


的 : 


0 外 部 接口 使 用 eth0 ， 这 个 接口 具有 public IP 喔 ; 


口内 部 接口 使 用 eth1 ， 假 设 这 个 IP 为 192.168.100.254 ; 


记 住 ! 当 你 利用 前 面 儿 半 谈 到 的 数据 来 设 定 你 的 网 络 参数 后 ， 务 必要 
进行 路 由 的 检 


测 ， 因为 在 NAT 服务 器 的 设 定 方面 ， 最 容易 出 错 的 地 方 束 是 路 由 
了 ! 无 其 旦 在 拨 接 产 


生 ppp0 这 个 对 外 接口 的 环境 下 ， 这 个 问题 最 严重 。 反 正 你 要 记得 : 
『 如 果 你 的 public 
IP 取得 的 方式 是 拨 接 或 cable modem 时 ， 你 的 配置 文件 


/etc/sysconfig/network, 


ifcfg-eth0, ifcfg-eth1 等 档案 ， 千 万 不 要 设 定 GATEWAY 啦 ! 4 否则 就 
会 出 现 两 个 


default gateway ， 反 而 会 造成 问题 。 


如 果 你 刚刚 已 经 下 载 了 iptables.rule ， 那 么 该 档案 内 已 经 舍 有 NAT 的 
脚本 了 ! 


iptables -A INPUT -i $INIF -j ACCEPT 
# 这 一 行为 非 必 要 的 ， 
主要 的 目的 是 让 内 网 LAN 能 够 完全 的 使 用 NAT 服务 需 


# 其 中 $INIF 在 本 例 中 为 ethl 接口 

echo "1" > /proc/sys/net/ipv4/ip_forward 

# 上 头 这 一 行 则 是 在 让 你 的 Linux 具有 router 的 能 力 

iptables -tnat -A POSTROUTING -s $innet -o $SEXTIF -} MASQUERADE 
# 这 一 行 最 关键 ! 就 是 加 入 nat table 封包 伪装 ! 本 例 中 $innet 是 
192.168.100.0/24 

# 而 $EXTIF 则 十 对 外 界面 ， 本 例 中 为 eth0 


重点 在 那个 『 MASQUERADE 4 ! 这 个 设 定 值 就 是 『 IP 伪装 成 为 圭 
包 出 去 (-0) 的 那 块 


装置 上 的 也 4 ! 以 上 面 的 例子 来 说 ， 就 是 $EXTIF ， 也 就 是 eth0 啦 ! 
所 以 封包 来 


源 只 要 来 自 $innet (也 就 是 内 部 LAN 的 其 他 主机 ) ， 只 要 该 封包 可 透 过 
eth0 传送 出 


去 ， 那 就 会 目 动 的 修改 IP 的 来 源 表 头 成 为 eth0 的 public IP 啦 ! 就 这 
么 简单 ! 你 


只 要 将 iptables.rule 下 载 后 ， 并 设 定 好 你 的 内 、 外 网 络 接口 ， 执行 
iptables.rule 后 ， 你 的 Linux 残 拥 有 主机 防火 墙 以 及 NAT 服务 絮 的 功能 
了 了 1! 

net.qiang(Ohotmail.com 


例题 : 


如 同上 面 所 述 的 案例 ， 那 么 你 的 LAN 内 的 其 他 PC 应 该 要 如 何 设 定 相 
天 的 网 

络 参数 ? 

签 . 


HH » 


答案 其 实 很 徐 单 啊 ， 将 NAT 服务 器 作为 PC 的 GATEWAY 即 可 ! 只 
记得 底下 


的 参数 值 : 
DNETWORK 为 192.168.100.0 
DNETMASK 为 255.255.255.0 


DBROADCAST 为 192.168.100.255 


DIP 可 以 设 定 192.168.100.1 ~ 192.168.100.254 间 ， 不 可 重复 ! 
0 通讯 闸 (Gateway) 需要 设 定 为 192.168.100.254 (NAT 服务 器 的 
Private IP) 

DDNS (/etc/resolv.conf) 需 设 定 为 168.95.1.1 (Hinet) 或 


139.175.10.20 (Seed Net)， 这 个 请 依 你 的 ISP 而 定 ; 


事实 上， 除了 IP 伪装 (MASQUERADE) 之 外 ， 我 们 还 可 以 直接 指定 修 
改 IP 封包 表 


头 的 来 源 耳 呢 ! 举例 来 说 ， 如 下 面 这 个 例子 : 
例题 : 


假设 对 外 的 IP 固定 为 192.168.1.100 ， 若 不 想 使 用 伪装 ， 该 如 何 处 
理 ? 


答 : 

iptables -t nat -A POSTROUTING -o eth0 -j SNAT\ 

--to-source 192.168.1.100 

例题 : 

假设 你 的 NAT 服务 器 对 外 IP 有 好 几 个 ， 那 你 想 要 轮流 使 用 不 同 的 IP 
时 ， 又 该 如 何 设 定 ? 举例 来 说 ， 你 的 耳 范围 为 
192.168.1.210~192.168.1.220 

答 : 

iptables -t nat -A POSTROUTING -o eth0 -j SNAT\ 

--to-source 192.168.1.210-192.168.1.220 


这 样 也 可 以 修改 网 络 封 包 的 来 源 IP 资料 喔 ! 不 过 ， 除 非 你 使 用 的 是 固 
定 IP,， 且 


有 多 个 IP 可 以 对 外 联机 ， 否 则 一 般 使 用 IP 伪 朔 即 可 ， 不 需要 使 用 到 
这 个 SNAT 啦 ! 


当然 ， 你 也 可 能 有 目 己 的 独特 的 环境 啦 ! 和信 
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9.5.3 iptables 的 额外 核心 模块 功能 


如 果 你 刚刚 在 iptables.rule 内 的 第 二 部 分 有 任 细 看 的 话 ， 那 有 没有 觉 


得 很 奇怪 ， 


为 何 我 们 需要 加 载 一 些 有 用 的 模块 ?举例 来 说 ，ip_nat_ftp 及 


ip_nat_irc ? 这 征 


因为 很 多 通讯 协议 使 用 的 封包 传输 比较 特殊 ， 尤 其 古 FTP 文件 传输 使 
用 到 两 个 port 


来 处 理 数据 ! 这 个 部 分 我 们 会 在 FTP 章节 再 来 详 谈 ， 在 这 里 你 要 先知 
道 ， 我 们 的 


iptables 提供 很 多 好 用 的 模块 ， 这 些 模块 可 以 辅助 封包 的 过 滤 用 途 ， 
让 我 们 可 以 节省 


很 多 iptables 的 规则 拟定 ， 好 棱 的 呐 ! 人 人 
9.5.4 在 防火 墙 后 闻 之 网 络 服务 器 DNAT 设 定 


既然 可 以 做 SNAT 的 卫 分 圣 功 能， 我 们 当然 可 以 使 用 iptables 做 出 
DMZ 啦 ! 


但 是 再 次 重申 ， 不 同 的 服务 希 封 包 传输 的 方式 可 能 有 点 老 异 ， 因 此 ， 
建议 新 手 不 要 玩 这 
个 吃 吃 ! 否则 很 容易 导致 录 些 服务 无 法 顺利 对 Internet 提供 的 问题 。 


先 来 谈 一 谈 ， 如 果 我 想 要 处 理 DNAT 的 功能 时 ， iptables 要 如 何 下 达 
= 


外 ， 你 必须 要 知道 的 是 ，DNAT 用 到 的 是 nat table 的 Prerouting 链 
喔 ! 不 要 搞 错 


了 o 
例题 : 
假设 内 网 有 部 主机 IP 为 192.168.100.10 ， 该 主机 是 可 对 Internet 开 


放 的 WWW 服务 器 。 你 该 如 何 透 过 NAT 机 制 ， 将 WWW 封包 传 到 该 
= 


竹 . 


Et: 

假设 public IP 所 在 的 接口 为 eth0 ， 那 么 你 的 规则 就 古 : 
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ 
-] DNAT --to-destination 192.168.100.10:80 


那个 工 -j DNAT --to-destination IP[:port] 4 就 古 精 髓 啦 ! 代表 从 eth0 这 
从 
| 


接口 传 入 的， 且 想 要 使 用 port 80 的 服务 时 ， 将 该 封包 重新 传导 到 


192.168.100.10:80 的 卫 及 port 上面! 可 以 同时 修改 IP 与 port 呢 ! 真 
方便 。 其 


他 还 有 一 些 较 进 阶 的 iptables 使 用 方式 ， 如 下 所 示 : 
-] REDIRECT --to-ports <port number> 
# 这 个 也 挺 常 见 的 ， 基 本 上 ， 就 是 进行 本 机 上 面 port 的 转换 就 是 了 ! 


， 特 别 留意 的 是 ， 这 个 动作 仪 能 够 在 nat table 的 PREROUTING 
ps 


# OUTPUT 链 上 面 实行 而 已 喔 ! 


范例 :将 要 求 与 80 联机 的 封包 转 递 到 8080 这 个 port 
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[root@www ~]# iptables -t nat -A PREROUTING -ptcp --dport 80 \ 
> -] REDIRECT --to-ports 8080 


# 这 玩意 最 容易 在 你 使 用 了 非 正 规 的 port 来 进行 某 些 well known 的 协 
议 ， 


# 例如 使 用 8080 这 个 port 来 启动 WWW ， 但 是 别人 都 以 port 80 来 联 
机 ， 


# 所 以 ， 你 就 可 以 使 用 上 面 的 方式 来 将 对 方 对 你 主机 的 联机 传递 到 
8080 中 |! 


至 于 更 多 的 用 途 ， 那 束 有 待 你 目 己 的 发 据 史 ! 人 人 
9.6 重点 回顾 


I 
新 套件 ; 


定期 的 重要 数据 备份 ， 完善 的 员工 教育 训练 。 仅 有 防火 墙 是 不 足够 
的 ; 

0 防火墙 服 大 的 功能 就 是 帮助 你 『 限 制 菜 些 服 务 的 存 取 来 源 1 ， 可 以 
管制 来 源 

与 日 标的 IP ; 


0 防火墙 依 据 封 包 抵挡 的 阶层 ， 可 以 分 为 Proxy 以 及 IP Filter (封包 过 
滤 ) 


两 种 类 型 ，; 


0 在 防火 墙 内 ， 但 不 在 LAN 内 的 服务 絮 所 在 网 域 ， 通 营 被 称 为 DMZ 
( 非 军 事 


区 )， 如 图 9.1-4 所 示 ;_ 


0 封包 过 滤 机 制 的 防火 墙 , 通常 至 少 可 以 分 析 IP, port, flag (如 TCP 封 
包 


的 SYN), MAC 等 等 ; 
0 防火墙 对 于 病毒 的 抵挡 并 不 敏感 ; 
0 防火墙 对 于 来 自 内 部 的 网 络 误 用 或 滥用 的 抵挡 性 可 能 较 不 足 ; 


0 并 不 是 架设 防火 墙 之 后 ， 系 统 就 一 定 很 安全 ! 还 是 需要 更 新 套件 漏洞 
以 及 管 


制 使 用 者 及 权限 设 定 等 
0D 核心 2.4 以 后 的 Linux 使 用 iptables 作为 防火 墙 的 软件 ; 
0 防火墙 的 订 定 与 『 规 则 顺序 1 有 很 大 的 关系 ; 若 规 则 顺序 错误 ， 可 能 


会 导 至 

防火 墙 的 失效 ; 

D iptables 的 预 设 table 共有 三 个 ， 分 别 是 filter, nat 及 mangle ， 惯 
用 者 为 filter (本 机 ) 与 nat (后 端 主机 ) 。 


0 filter table 主要 为 针对 本 机 的 防火 墙 设 定 ， 依 据 封 包 流 同 叉 分 为 
INPUT， 


OUTPUT FORWARD 三 条 链 ; 


Danat table 主要 针对 防火 墙 的 后 端 主 机 ， 依 据 封 包 流 问 勾 分 为 
PREROUTING, 


OUTPUT POSTROUTING 三 条 链 ， 其 中 PREROUTING 与 DNAT 有 
关 ，POSTROUTING 


则 与 SNAT 有 关 ; 
0 0 0 


(policy) 作为 封包 的 行为 依据 ; 
0 iptables 的 指令 列 当 中 ， 可 以 下 达 的 参数 相当 的 多 ， 当 下 达 -j LOG 的 


从 


数 时 ， 则 该 封包 的 流程 会 被 纪录 到 /var/log/messages 当中 |; 


0 防火 雯 可 以 多 重 设 定 ， 例 如 虽然 已 经 设 定 了 iptables ， 但 是 仍然 可 以 
持续 


设 定 TCP Wrappers ， 因 为 谁 也 不 晓得 什么 时 候 iptables 会 有 漏洞 一 或 
者 是 规 


则 规划 不 民 ! 
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9.7 本 章 习 题 
0 为 什么 我 架设 了 防火 墙 ， 我 的 主机 还 是 可 能 中 毒 ? 


防火 墙 不 是 万 灵 丹 ， 他 还 是 可 能 被 病毒 或 者 是 木马 程序 所 入 侵 的 ! 此 
Bh, 


如 琳 你 的 主机 本 号 束 已 经 提供 了 多 个 网 络 服务 ， 则 当 该 网 络 服务 的 软 
件 有 漏洞 时 ， 


防火 墙 仍然 无 法 克服 该 服务 的 漏洞 的 ! 因此 仍然 需要 持续 的 进行 主机 
的 监视 与 后 


问 分 析 工 作 


0 请 说 明 为 何 架 设 了 防火 墙 ， 我 的 主机 还 是 可 能 被 入 侵 ? 入 侵 的 依据 可 


么 方法 ? 

因为 防火 墙 仅 是 抵挡 某 些 不 受 欢 迎 的 封包 ， 如 采 你 有 开放 WWW 的 服 
务 时 ， 

则 要 求 你 主机 port 80 的 封包 将 可 直接 进入 你 的 主机 ， 万 一 WWW 套件 
有 漏洞 时 ， 

那么 束 可 能 被 入 侵 了 ! 所 以 软件 的 更 新 很 重要 | 


我 们 知道 核心 为 2.6 的 Linux 使 用 的 防火 墙 机 制 为 iptables ， 请 问 ， 
I 


何 知 道 我 的 Linux 核心 版 本 ? 

利用 uname -r 可 以 查 得 ! 

0 请 列 出 iptables 预 设 的 两 个 主要 的 table ， 以 及 各 个 table 里 面 的 
chains 与 各 个 chains 所 代表 的 意义 ; 

filter 为 预 设 的 Table， 里 头 预 设 的 链 有 : 

oINPUT: 为 来 自 外 部 ， 想 要 进入 主机 的 封包 ; 

0 OUTPUT: 为 来 自主 机 ， 想 要 离开 主机 的 封包 .; 

0 FORWARD: 为 主机 内 部 网 域 与 外 部 网 域 的 封包 (不 论 进 或 者 出 )， 但 


该 
封包 不 会 进入 主机 。 
还 有 nat 这 个 table: 


oPREROUTING: 进行 路 由 之 前 的 封包 传送 过 程 


oOUTPUT: 离开 主机 的 封包 传送 过 程 ; 

0 POSTROUTING: 已 经 经 过 路 由 了 ， 然 后 才 进 行 的 过 滤 规 则 。 

0 什么 是 iptables 的 预 设 政策 (Policy)? 若 我 要 针对 filter 的 INPUT 
做 成 DROP 的 默认 政策 ， 指 令 如何 下 达 ? 


司 加 性 都 不 在 防火 墙 的 规则 当中 时 ， 那 么 这 个 封包 能 否 顺 


过 防火 墙 ， 则 以 Policy 作为 这 个 封包 的 最 终 动 作 了 ! 

iptables -P INPUT DROP 
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0 假设 今天 我 的 Linux 仅 是 作为 Client 之 用 ， 并 没有 对 Internet 进行 任 
何 服 务 ， 那 么 你 的 防火 墙 规划 应 该 如 何 设 定 比 较 好 ? 

既然 没有 对 Internet 提供 任何 服务 ， 那 么 (1) 请 将 所 有 的 对 外 塌 口 先 关 闭 


吧 ! (2) 防 火 墙 规 则 当中 ， 最 重要 的 是 INPUT 的 Policy 一 定 要 DROP ， 
然后 将 


『 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j 
ACCEPT J 


即 5]! 
DD 我 要 将 来 自 192.168.1.50 这 个 IP 来 源 的 封包 ， 只 要 是 向 我 的 21~23 
塌 


口 要 求 的 封包 ， 怠 将 他 抵挡 ， 应 该 如 何 下 达 iptables 指令 ? 
iptables -A INPUT -p tcp -s 192.168.1.50 --dport 21:23 -] DROP 
0 我 要 将 我 目 己 主机 ping 的 啊 应 功能 取消 ， 应 该 如 何 下 达 iptables 的 指 


< 

因为 ping 能 否 啊 应 用 的 是 icmp 的 type 8 (请 参考 网 络 基 础 内 的 ICMP 
相关 内 容 )， 所 以 我 可 以 这 样 做 : 

iptables -IINPUT -p icmp --icmp-type 8 -j DROP 

0 请 说 明 为 何 这 个 指令 是 错误 的 ? Tiptables -A INPUT -p udp --syn -s 
192.168.0.20 -j DROPJ ? 


因为 只 有 TCP 封包 才 会 具有 SYN 的 标志 ，UDP 并 没有 SYN 的 标志 
啊 ! 所 


以 上 面 的 指令 是 错误 的 


0D DNS 的 要 求 是 必须 的 ， 那 么 我 该 如 何 设 定 我 的 主机 可 以 接受 要 求 
DNS 的 响 


应 呢 ? 


因为 DNS 的 来 源 是 port 53 ， 因 此 要 接受 来 目 port 53 的 封包 就 成 为 
本: 


iptables -A INPUT -p udp --sport 53 -j) ACCEPT 
iptables -A INPUT -p tcp --sport 53 -j ACCEPT 
DD 如 何 取 消 iptables 在 我 的 系统 上 面 ? 


先 要 清除 规则 后 ， 才 能 够 将 iptables 移 除 ! 不 过 ， 我 们 主要 将 规则 清除 
即 


可 ! 
iptables -F; iptables -X; iptables -Z 


iptables -t nat -F; iptables -t nat -X; iptables -t nat -Z 


0 a 目前 的 防火 墙 机 制 ， 以 及 如 何 将 上 次 储存 下 来 的 机 制 回 复 到 
目前 的 


系统 中 ? 
请 利用 iptables-save 以 及 iptables-restore 这 两 个 指令 ， 配 合 命令 重 
导 癌 即 可 ! 也 可 以 使 用 /etc/init.d/iptables save 来 储存 喔 ! 
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“0 区 网 当中 有 个 PC 使 用 者 老 古 连 上 Internet 乱 搞 ， 你 想 要 将 
中队 


IP 锁 住 ， 但 他 总 是 有 办 法 修改 成 其 他 IP 来 连 外 ， 那 你 该 怎么 办 ? 让 他 
无 法 继 


续 连 外 ? 

可 以 利用 封锁 网 络 卡 卡号 MAC 来 处 理 | 

9.8 参考 数据 与 延伸 阅读 

DD 注 1: squid 官网 :_http://www.squid-cache.org/ 

鸟 哥 的 旧版 文章 :_http://linux.vbird.org/linux_ server/0420squid.php 
0 注 2: 与 iptables 相关 的 网 站 与 书籍 : 

中 文 网 站 : 


oO http:/www.study-area.org/linux/servers/linux_nat.htm 
英文 网 站 : 


0 http://www.netfilter.org/ 


0 
http://www.netfilter.org/documentation/ HOWTO//packet-filtering- 
HOWTO.html 
0 http://www.interhack.net/pubs/fwfaq/ 
0 
http://www.sysresccd.org/Sysresccd-Networking-EN-Destination-po 
rt-routing 
其 他 书籍 与 数据 : 
0 Robert L. Ziegler 着 ， 
朱 腕 已 等 译 ， 

[实战 Linux 防火 墙 --iptables 
应 用 全 搜 有 未 3 ， 上 奇 出 版 社 ，2004。 
o 本 机 的 核心 文件 : 


/usr/src/linux-{version}/networking/ip-sysctl.txt 

o iptables 的 内 建 tables 与 各 个 chain 的 相关 性 : 
http://ebtables.sourceforge.net/br fw ia/bridge3b.png 
0 核心 参数 的 相关 说 明 : 


http://www.study-area.org/tips/adv-route/Adv-Routing-HOWTO-12.h 


tml 


o 使 用 PPPoOE 导致 的 MTU 问题: 


2002/08/20: 第 一 次 完成 日 期 ! 
net.giang@hotmail.com 


2003/08/25: 重新 设计 内 容 ， 改 写 一 些 指 
-9 sy 


较 完整 一 点! 


2006/09/06: 将 旧 的 文章 移动 到 此 人 处 
2006/09/11: 拿 挥 了 已 经 在 基础 篇 有 介绍 过 的 认识 服务 之 TCP 


Wrappers ° 
2006/09/13: 加 入 NAT 的 说 明了 ， 将 旧 的 NAT 主机 移动 到 此 处 。 


2006/09/15: 将 iptables.rule 的 连结 贴 上 去 了 ! 之 前 息 记 修改 该 档案 了 


"WA 


2006/11/08: 因为 PPPoE 找 接 与 Ethemet 的 MTU 不 同 ， 可 能 在 某 些 情 
况 下 会 导致 使 


用 者 无 法 联机 ， 更 新 了 iptables.rule 了 。 
2010/10/27: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2011/02/08: 修改 了 很 多 图 示 ， 并 且 将 文句 作 个 整理 ， 大 方向 并 没有 特 
殊 的 修改 ! 


2011/07/22: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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第 en 总 申 语 合 法 的 主 术 作 


最 近 更 新 日 期 : 2011/07/23 


在 读 完 了 网 络 基础 并 有 晶 染 设 了 个 人 人 简易 的 防火 墙 之 后 ， 忌 算是 准备 要 
开始 来 给 他 进入 Server 的 架设 了 |! 


服务 器 架设 的 步骤 里 面 ， 很 重要 的 一 点 是 『 你 的 主机 名 必须 要 在 
Internet 上 面 可 以 被 查询 上 才 好 ! 这 


征 因 为 人 类 对 于 IP 记忆 力 不 佳 ， 所 以 才 会 以 主机 名 来 取代 卫 。 不 过 ， 
你 的 主机 名 要 能 够 被 查询 到 才 


有 用 啊 ! 这 个 时 候 ， 一 个 『 合 法 J 的 主机 名 整 很 重要 了 ! 那 要 合法 的 
主机 ， 就 得 要 让 DNS 系统 能 够 找 的 


到 你 的 主机 啊 ! 不 过 ， 如 果 我 们 的 主机 是 使 用 拨 接 得 到 的 不 固定 了 
呢 ? 又 该 如 何 申 请 DNS 主机 名 ? 那 


就 得 要 使 用 动态 DNS 的 系统 嘿 ! 在 这 个 章节 中 ， 我 们 主要 在 介绍 
Client 闪 的 设 定 ， 而 不 是 在 设 定 DNS 


服务 堪 喔 ! 和 和 
10.1 为 何 需要 主机 名 
10.1.1 主机 名 的 由 来 


10.1.2 重点 在 合法 授 


10.3 重点 回顾 


10.4 本 童 习题 


10.5 参考 数据 与 延伸 阅读 
10.6 针对 本 文 的 建议 :http://phorum.vbird.org/viewtopic.php?t=26634 
10.1 为 何 需 要 主机 名 


应 该 会 知道 其 实 我 们 的 


Uj 未 守 哇 
on 环境 只 


要 有 了 与 正确 的 路 由 即 可 联机 了 。 那 么 你 申请 主机 名 要 干 嘛 ? 因为 
【 没 办 法 啊 ! 人 脑 


太 不 中 用 了 1! J 举例 来 说 ， 你 可 以 背 出 来 我 们 第 上 去 查 数 据 的 


www.google.com 的 IP 吗 ? 
报告 ! 乌 哥 没 办 法 育 出 来 ~ 


而 且 ， 如 采 你 的 耳 又 是 类 似 拨 接 的 不 固定 
J IP 时 ， 


那 还 更 伤 脑筋 呢 ! 因此 我 们 才 会 习惯 以 熟悉 的 英文 字符 串 来 做 为 主机 
名 ， 然 后 让 『 这 


个 主机 名 与 IP 达成 对 应 3， 那 直接 记忆 主机 名 就 行 了 ， 有 反正 IP 的 查询 
就 交 给 计算 机 


主机 来 做 即 可 ! 在 这 样 的 想法 下 ， 我 们 当然 束 需 要 有 主机 名 啦 ! 


net.giang@hotmail.com 


Tips: 
在 这 个 章节 当中 ， 我 们 将 会 介绍 如 何 申请 一 个 合法 的 主机 名 。 目 前 
Internet 上 面 使 用 的 主机 名 都 是 透 过 所 谓 的 DNS 系统 ， 而 你 想 要 
取得 一 个 DNS 的 主机 名 ， 就 必须 要 『 注 册 4 ， 所 谓 的 『 注 册 4 就 是 
要 钱 去 申请 啦 ! 当然 也 有 免费 提供 主机 名 的 服务 啦 ! 在 这 个 章节 当 
中 鸟 哥 不 会 介绍 如 何 架 设 一 部 DNS 服务 器 ， 而 是 介绍 如 何 利用 注 
册 或 免费 申请 的 方式 来 达成 主机 名 的 取得 。 

10.1.1 主机 名 的 由 来 


因为 IP 是 这 么 难 记 忆 的 东西 ， 因 此 人 们 就 使 用 【名字 4 来 对 应 到 主机 
的 卫 ， 这 


束 是 主机 名 的 由 来 。 好 在 早期 连 上 网 络 的 计算 机 数量 不 多 ， 所 以 在 网 
络 上 的 人 们 束 想 


出 一 个 简单 的 办 法 来 进行 主机 名 与 IP 的 对 应 ， 那 就 是 『 在 每 部 计算 机 
的 /etc/hosts 


里 面 设 定好 主机 名 与 IP 的 对 应 表 4 。 那么 人 们 束 可 以 直接 其 由 主机 名 
来 连接 上 某 些 网 


络 上 的 主机 路! 


然而 因为 科技 的 发 达 ， 连 上 Internet 的 人 们 越 来 越 多 ， 使 用 /etc/hosts 
的 方法 

已 经 搞 不 定 了 (只 要 一 部 新 计算 机 上 上线， 全 部 Internet 上 面 的 所 有 计算 
机 都 要 重新 改 


写 /etc/hosts 才 行 ! ) ， 这 个 时 候 领 域名 系统 ( Domain Name System， 
DNS ) 就 适 


时 的 出 现 了 ! 


DNS 利用 类 似 树 状 目录 的 型 态 ， 将 主机 名 的 管理 分 配 在 不 同 层级 的 
DNS 服务 絮 当 


中 ， 经 由 分 层 管 理 ， 所 以 每 一 部 服务 器 记忆 的 信息 束 不 会 很 多 ， 而 且 
异动 上 面 也 相当 的 


容易 修改 ! 这 个 DNS 的 功能 你 知道 了 吗 ? 对 啦 ! 就 是 『 将 计算 机 主机 
的 名 称 转译 成 IP J 


束 古 了 ! 当然 嗓 ， 他 的 额外 功能 还 很 多 ， 关 于 DNS 的 详细 的 解析 部 分 
我 们 将 在 后 续 的 和合 


总 之 ， 它 的 最 大 功 


2 
能 就 是 『 让 有 意义 


ee ， 转 译 成 为 计算 机 所 熟悉 的 
IP 地 址 ! J 


透 过 上 面 的 简单 说 明 ， 你 得 要 知道 ， 如 果 你 想 要 一 个 主机 名 ， 那 你 就 
得 要 透 过 DNS 


系统 ， 而 不 是 单纯 的 修改 你 的 /etc/hosts 而 已 。 那 你 如 何 加 入 一 个 主机 
名 到 DNS 系 


统 当 中 呢 ?『 授 权 J 是 重点 ! 那 什么 是 授权 呢 ? 
10.1.2 重点 在 合法 授权 


很 多 朋友 都 认为 : 『 因 为 我 想 要 以 站 ， 所 以 主机 需要 有 个 主机 名 ， 
此 我 束 得 要 染 


设 DNS 服务 器 ? J 是 这 样 吗 ? 当然 不 是 路 ! DNS 十 个 很 庞大 的 以 构 ， 
而 且 是 捉 连 在 全 


球 的 网 络 当 中 ， 除 非 你 经 由 『 注 册 J 的 手续 来 让 DNS 系统 承认 你 主机 
名 存在 的 合法 性 ， 


否则 你 架设 的 DNS 只 能 说 是 一 个 了 地 下 练习 的 测试 站 4 而 已 啦 ! 并 没 
有 用 途 的 。 


那 我 要 如 何 加 入 DNS 系统 呢 ? 很 简单 啦 ! 首先 你 必须 要 选择 一 个 注册 
单位 ， 并 且 


检查 出 你 想 要 注册 的 主机 名 是 否 存 在 ? 主机 名 是 有 意义 的 ， 并 不 是 你 
可 以 随便 注册 的 喔 ! 


net.qiang@Ohotmail.com 


世界 的 DNS 系 鹤 


CK 
Www,dic.ksu,edu,tw 


举例 来 说 ， 在 台湾 闻 见 的 个 人 网 站 注册 主机 名 为 : *.idv.tw ， 而 公司 行 
号 则 可 能 注册 


为 *.com.tw 了 ! 这 个 得 要 特别 留意 。 至 于 台湾 地 区 的 注册 单位 很 多 ， 
你 可 以 选择 例如 


Hinet 或 Seednet 之 类 的 ISP 来 注册 。 当 然 ， 你 也 可 以 选择 免费 的 no- 
ip.org 来 注 


册 的 。 


如 果 想 要 了 解 喻 是 『 合 法 授权 J 的 话 ， 得 要 从 DNS 主机 名 的 查询 方式 
来 谈 起 ， 由 


于 DNS 查询 的 方式 都 是 由 上 层 的 ISP 提供 解析 授权 给 下 游 的 注册 者 ， 
因此 ， 下 游 的 注 


册 者 只 要 设 定 妥当 后 ， 全 世界 的 主机 就 会 知道 你 设 定 的 数据 了 。 详细 
的 查询 流程 我 们 


留 到 DNS 服务 器 章节 再 来 谈 ， 底 下 仅 是 介绍 一 个 简单 的 查询 示意 图 。 
图 10.1-1、DNS 查询 示意 图 


举 昆 山 信 息 传播 系 的 WWW 服务 器 的 主机 名 注册 方式 来 说 好 了 ， 我 们 
系 上 得 要 移 跟 


昆山 计 中 (相当 于 我 们 的 ISP) 注册 取得 www.dic.ksu.edu.tw 这 个 主机 名 
与 IP 的 


对 应 ， 这 个 对 应 信息 是 写 在 昆山 计 中 的 DNS 服务 器 上 ， 与 资 传 系 的 
WWW 服务 器 无 关 


趴 ! 那 你 怎么 知道 那 部 www.dic.ksu.edu.tw 在 哪里 ? 你 会 先 癌 你 的 
DNS 要 求 查 询 ， 


该 DNS 会 去 向 全 世界 的 DNS 系统 查询 ， 该 系统 会 主动 的 查询 到 KSU 
dns 服务 右 ， 人 然 


后 你 的 PC 就 会 知道 www.dic.ksu.edu.tw 的 卫 在 哪 ， 最 后 你 就 开始 联机 
吗 。 


从 这 个 流程 当中 ， 你 可 以 发 现 我 们 的 www 服务 器 与 KUS dns 服务 器 没 
有 绝对 关系 ， 


两 者 是 独立 的 ， 我 们 只 要 作 好 DNS 的 『 注 册 J4 工作 (向 计 中 申请 注册 ) 
即 可 ， 并 不 需 


要 去 维护 DNS 的 信息 。 所 以 史 ， 这 里 你 只 要 知道 ， (1) 主机 名 的 设计 
是 有 意义 的 ， 不 


可 以 随便 设 定 、(2) 主 机 名 要 生效 ， 得 要 透 过 注册 来 取得 合法 授权 。 这 
样 束 好 了 ， 如 末 


想 要 架设 DNS 与 更 了 解 DNS 系统 的 话 ， 等 到 后 续 的 DNS 服务 器 章节 
再 来 谈 。 


Tips: 

在 这 个 章节 当中 ， 理 论 方面 的 讲解 比较 少 ， 因 为 很 多 数据 都 与 DNS 
服务 八 篇 有 重复 ， 在 这 个 章节 当中 乌 哥 主要 在 介绍 动态 IP 架 站 的 
一 个 简单 主机 名 申请 方式 啦 ! 人 人 


net.giang@hotmail.com 


世界 的 DNS 系统 


即刻 更 新 记录 
的 资料 识 息 


Www.dic.ksu.edu.tw 


10.1.3 申请 静态 还 是 动态 DNS 主机 名 


由 上 面 的 说 明 当 中 ， 我 们 可 以 很 清 苞 的 知道 DNS 系统 最 大 的 功能 融 是 
在 主机 名 对 


应 IP 的 转译 上 面 。 当 然 啦 ， 预 设 的 DNS 转译 是 用 在 【固定 IP 对 应 主 
机 名 J 的 方法 


上 面 的 ! 就 像 上 面 的 图 10.1-1 所 示 一 般 。 在 这 个 情况 底下 ， 你 在 DNS 
架构 下 申请 完 


主机 名 后 ， 如 采 你 的 IP 不 会 更 动 ， 那 区 永远 不 用 去 烦恼 主机 名 的 相关 
问题 嗓 ， 这 也 


是 所 谓 的 静态 DNS 主机 名 功能 。 


我 们 的 很 多 小 网 站 都 是 以 非 固定 IP 来 上 网 的 ， 更 有 其 
此 


ADSL 拨 搂 模式 甚至 会 定时 强制 断 线 ， 也 殉 是 说 ， 在 一 段 时 间 后 ， 我 
们 都 得 需要 重新 拨 


接 上 网 ， 而 每 次 拨 接 成 功 后 取得 的 IP 可 不 见得 相同 啊 ， 如 此 一 来 人 P 不 
是 一 直 在 变 吗 ? 


那么 我 不 就 需要 一 直 跟 我 上 层 DNS 主机 的 管理 员 申 请 『 变 更 IP J 
吗 ? 会 不 会 太 麻 烦 


于 


是 很 麻烦 啊 ! 所 以 现在 为 了 解决 这 个 问题 ， 很 多 ISP 提供 了 所 谓 的 动 
态 DNS 服务 

的 功能 ， 他 是 这 样 做 的 : 

1. Client 端 (就 是 你 啦 ) 每 次 开机 或 者 是 重新 拨 接 ， 并 取得 一 个 新 的 了 PP 之 


口 ， 


会 主动 癌 DNS Server 端 提 出 要 求 ， 硕 望 Server 新 变更 主机 名 与 IP 的 对 
MV 


(这 个 步骤 在 每 个 主要 的 ISP 都 有 提供 适当 的 程序 来 提供 给 client 使 
用 ); 


2. Server 病 接 受 Client 端的 要 求 之 后 ， 会 先 去 查询 Client 提供 的 账号 
码 是 否 正 确 ， 大 正确 就 会 立即 修改 Server 本 身 对 于 你 的 主机 名 的 设 定 
值 。 


所 以 虽 ， 每 次 我 们 取得 了 新 的 IP 之后， 我 们 的 主机 名 对 应 的 IP 也 会 跟 
着 在 DNS 


系统 上 面 更 新 ， 如 此 一 来 ， 只 要 别人 知道 你 的 主机 名 ， 不 论 你 的 他 为 
何 ， 他 一 定 可 


以 连 上 你 的 主机 (因为 IP 跟着 你 的 主机 而 变 ! ) 这 对 于 我 们 这 种 使 用 动 
态 IP 的 人 是 


很 有 帮助 的 ! ( 阿 ! 真是 造福 我 们 这 些 穷 音 人 家 的 孩子 呀 ! ) 整个 程序 
束 有 扩 像 奈 下 的 


图 示 ，WWW 服务 器 与 DNS 服务 器 之 间 就 有 关连 性 啦 。 
图 10.1-2、 动 态 DNS 服务 -- 客 户 端 回 服务 器 端 发 送 更 新 要 求 


net.giang@hotmail.com 
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不 过 ， 还 是 需要 注意 的 是 ， 目 前 的 主机 名 申请 很 多 是 『 需 要 钱 的 J 1 
如 采 你 需要 比 


较 稳 定 的 主机 名 对 应 IP 的 服务 ， 那 么 伦 点 钱 来 注册 还 是 必须 的 。 不 
过 ， 如 采 是 实验 性 


质 的 网 站 ， 那 么 也 是 可 以 申请 免费 的 动态 DNS 服务 喔 ! 
10.2 注册 一 个 合法 的 主机 名 


根据 前 面 的 说 法 ， 如 果 你 只 想 要 有 合法 的 主机 名 的 话 ， 那 么 依据 你 的 
IP 是 否 固定 


而 有 : ” (1) 静态 DNS 主机 名 与 (2) 动 态 DNS 主机 名 两 种 注册 方式 。 夺 下 
乌 哥 列 出 目 己 


有 注册 经 验 的 网 站 提供 大 家 参考 : 
0D 静态 DNS 主机 名 注册 : 


静态 卫 对 应 主机 名 的 注册 网 站 实在 太 多 了 ， 展 下 是 乌 哥 有 注册 经 难 的 
网 站 : 


小: http:/www.twnic.net 

:http://www.netsol.com 

: http://www.dotster.com 
i: http://www.godaddy.com 

0 动态 DNS 主机 名 注册 : 


至 于 人 免费 的 动态 DNS 系统 主要 束 是 这 个 NO-IP 公司 提供 的 网 站 喝 ! 如 
下 十 第 : 


o 国外 的 免费 DNS 系统 :_http:/www.no-ip.com 
10.2.1 静态 DNS 主机 名 注册 : 以 Hinet 为 例 
静态 DNS 的 申请 方式 其 实 都 差不多 ， 都 是 需要 : 
1. 先 查 询 所 想 要 注册 的 网 域 是 否 存 在 ; 

2. 进入 ISP 去 申请 注册 你 所 想 要 的 主机 名 ; 

3. 缴费 ， 并 等 待 主机 名 被 启用 。 


我 们 以 台湾 蛮 常 见 的 Hinet 这 个 ISP 提供 的 『 个 人 网 域 : .idvtwJ 注册 
方式 来 


说 明 : 
四 


net.giang@hotmail.com 


whois 查询 : vbird .idvtw J Gol 


填 入 你 要 广 册 的 主机 避 择 个 人 网 域 的 .1dv. tw 


全 英文 域名 【com twyorg ,twinet,tw) 
命 个 人 域名 【idv tw) 
> 网 域 名 称 申 请 SS 
» 身份 确认 
» 转帐 渤 营 通 #0 衫 发 
» 信用 卡 洛 营 作 米 
> 训 TMI 电 瞧 ) 铁 营 作 业 
» DNS 黑 动 禹 查询 
» 判 虽 密码 黑 动 
» 用 户 咨 料 查询 黑 动 
> 狗 域 名 夭 移 朝 
光碟 理 淮 度 查询 
份 中 文 铀 域 ( twy ,台湾 ) 


1. 登入 主 画 面 ， 并 得 询 欲 注册 网 域 是 否 存在 
先 连结 到 底下 的 网 页 去 :http://domain.hinet.net/ ， 并 在 whois 的 画面 当 
中 


(右上 角 ) 选 择 你 想 要 注册 的 主机 名 ， 按 下 『GoJ 开始 搜寻 。 
图 10.2-1、 利 用 whois 查询 和 欲 注册 网 域 是 否 存在 
2. 逐步 进行 注册 


如 膝 确 认 你 的 主机 名 没有 人 说 注 册 挥 ， 那 么 你 束 可 以 开始 注册 了 ! 同样 
的 在 上 面 的 


网 站 连结 当中 ， 选择 『 个 人 域名 4 就 可 以 开始 申请 了 ! 请 由 『 域 名 申 
请 4 开始 


依 序 一 步 一 步 办 理 ! 这 里 不 再 说 明了 ， 反 正 都 是 中 文 ， 看 的 懂得 啦 ! 
和 人 和 


图 10.2-2、 个 人 网 域 逐 步 注册 的 流程 示意 图 
0D 
3. 填写 主机 名 对 应 的 IP 


通常 伦 个 几 天 等 待 缴 费 完毕 后 ， 我 们 就 可 以 开始 进行 登入 与 主机 名 的 
填写 了 ! 在 


net.giang@hotmail.com 


定型 熊 襄 明 : 

台湾 和 出 路 资讯 中 心 提供 HOSTIP 指 定 服 蒋 (DNS 代 管 ) ; 但 只 有 三 部 Host 的 限 

制 ， 知 您 的 主楼 数 超 过 二 部 或 需要 IF 以 外 的 种 圭 (如 MX record 、CNANE 

record) 请 自行 泥 译 定 DNS ， DNS 是 Host 开 能 揪 法 部 存 。 
vbirdidw tw 指定 型 能 仿 主 机 DNS 

DNS/Host ServerName IP Address 

[roail vbird idvtw [140.116.44.180 

[wwwwtidiqvty [140.116.44.180 

Nin vbird idv ty [140.116.44.180 


图 10.2-2 的 图 示 中 按 下 『DNS 异动 与 查询 的 项 目 ， 并 填 入 当初 注册 
时 的 主 


机 名 与 密码 ， 然 后 就 会 出 现 如 下 的 画面 了 : 


| 


lll ll 


图 10.2-3、 主 机 名 与 IP 对 应 的 填写 范例 
特别 的 给 他 留意 ， 因 为 我 们 没有 要 架设 DNS 主机 ， 所 以 当然 最 上 方 要 


选择 『 主 


机 J 的 项 目 ， 然 后 你 可 以 填 入 三 部 主机 名 喔 ! 当然 ， 这 三 部 主机 名 可 
以 通通 指 


癌 同一 个 IP ， 也 可 以 不 同 ! 随 你 的 便 呐 ! 需要 注意 到 的 是 ， 你 的 主机 
名 应 该 


是 『othername.yourhost.idv.twJ 后 面 的 yourhost.idv.tw 是 不 变 的 ， 前 面 


的 
othername 则 可 以 目 由 选取 呢 ! 例如 乌 哥 上 面 的 设 定 ， 后 面 均 是 


vbird.idv.tw ， 

而 前 面 的 名 称 就 可 以 让 我 自由 选择 啦 ! 
0 

4. 等 待 DNS 启用 


在 上 图 10.2-3 当中 按 下 『 填 写 完 请 按 这 里 4 后 ， 就 等 着 局 用 吧 ! 不 过 
设 定 成 功 


到 可 以 使 用 ， 其 实 需 要 一 定 的 时 间 的 。 以 乌 哥 为 例 ， 第 一 次 申请 之 
后 ， 大 约 过 


了 20 小 时 该 设 定 才 正确 的 启动 呢 ! 请 耐心 等 候 啊 ! 不 要 太 着 急 吧 ， 
和 人 入 

在 台湾 ， 各 家 的 领域 名 注册 流程 都 差不多 ， 不 过 ， 金 额 是 有 点 差异 
的 ， 当 然 ， 服 务 


也 就 有 不 同 啊 ! 乌 哥 的 vbird.org 领域 名 则 是 在 http://www.godaddy.com 
注册 的 喔 ! 


net.giang@hotmail.com 
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Support Company 


User Login 


如 果 你 不 想 要 使 用 .idv.tw 来 注册 的 话 ， 那 么 国外 的 ISP 提供 的 DNS 也 
可 以 考虑 看 


看 说 ! 
10.2.2 动态 DNS 主机 名 注册 : 以 no-ip 为 例 


如 果 你 跟 乌 哥 一样 使 用 ADSL 拨 接 的 方式 来 上 网 ， 这 表示 你 的 IP 应 该 
是 不 固定 的 ! 


果真 如 此 的 话 ， 那 想 要 用 这 样 的 网 络 环境 来 架 站 就 比较 厅 烦 一 点 ! 
为 上 面 利用 Hinet 


注册 的 方式 通常 是 给 固定 IP 使 用 的 ， 你 应 该 不 会 想 要 天 天 上 去 更 新 你 
的 IP 吧 ? 此 


时 这 个 no-ip.com 所 提供 的 免费 动态 IP 对 应 主机 名 的 服务 就 很 重要 
啦 ! 我 们 先 来 申 


请 一 个 主机 名 来 玩 玩 吧 ! 人 人 
0 
1. 登入 主 网 页 ， 并 且 注 册 一 个 新 账号 


你 必须 要 和 连 上 http:/www.no-ip.com 这 个 网 站 ， 然后 在 出 现 的 画面 当中 
的 右 


上 角 部 分 ， 选 择 『 Create Account 4 那个 项 目 。 不 过 ， 如 果 你 已 经 有 
no-ip 网 


站 的 注册 账号 ， 那 么 直接 跳 到 底下 第 四 步骤 去 登入 即 可 。 
图 10.2-4、no-ip 网 站 的 注册 : 新 建 账号 点 选 
2. 开始 填写 识别 数据 


由 于 局 动 账号 必须 由 no-ip 提供 一 个 注册 局 动 的 连结 ， 因 此 你 必须 要 填 
写 正确 


的 email 来 授 受 启动 码 。 整 个 注册 的 讯 姑 如 下 图 所 示 : 


net.giang@hotmail.com 


i) About You: 


First Name: 

Last Name: 

How did you hear about us?: 
Zip/Postal Code: 


Intended Use?: 


JA. Account Information: SS 


Email: 
Password: 


Confirm Password: 


代 ， Account Access: 


Security Question: 
Your Answer: 


Birthday: 


FnendiCo 


lleague v | 


| Home web server ”| 


| Jala@ grail.corr| 


| Who wss your childhood hero? 了 | 


|1950 


同 il 


January 


图 10.2-5、no-ip 网 站 的 注册 : 新 账号 建立 所 需 填 写 数 据 
最 重要 的 是 ， 在 该 网 页 的 最 下 方 还 有 验证 码 以 及 你 必须 要 人 义 选 的 人 


agree 


that...4 项 目 才 行 喔 ! 最 后 才 点 选 『I Accept, Create my AccountJ 项 目 


吻 。 


详细 图 示 如 下 所 示 : 


net.giang@hotmail.com 


区 Terms of Service: 


Please review our T of Service (TOS) below. By creating an account you are agreeing to our TOS and 

OS states you may only have one (1) free account and that creation of multiple free accounts 
the termination of all of your accounts. 

[Vil agree that | will only create one free No-IP account. 


Terms of Service 


1, ACCEPTANCE OF TERMS | 


No-IP.com is an Internet-based ‘Web site that offers DNS Hosting, 四 namic DNS, URL Redirection, ermall 
hosting, domain name registration, server monitoring, and software utilities (each a “Servyice" and 
cnllectivelv "Sarviras Vitahwerks Internet Snlutinns LLC doing husiness as NN-lP com_ 


By clicking on 1Accept below you are agreeing to the Terms of Service above and the Privacy Policy. 


1Accept Create my Account 


VBird, welcome to your No-IP! Last Login: 2011-02-14 08:48:40 


You have successfully logyed into No-IP's member section. To start using No-IP's services select an icon below or choose 
an item from the navigation above 


@® © Po 己 


Manage Domains Add Domain Refer Friend Add a Host Manage Hosts 


图 10.2-6、no-ip 网 站 的 注册 : 新 账号 建立 务必 色 选 项 目 
0 
3. 启用 账号 


ns no-ip 会 发 一 封 信 给 你 ， 请 自行 参考 信件 
合 ， 


1 那 你 的 账号 束 能 够 局 动 ， 
10.2-4 去 ， 


针对 你 的 email(username)/ 密 人 码 (password) 填写 妥当 ， 就 能 够 登入 NO IP 
网 


站 了 。 


D 
4. 登入 no-ip 且 设 定 主机 名 与 卫 的 对 应 


这 这 图 10.2.4 的 翌 了 玉玲 入 后 ， 你 会 看 到 有 点 像 底下 的 图 示 ， 底 下 就 
准备 来 处 


理 你 主机 名 与 IP 的 对 应 数据 了 : 
net.giang@hotmail.com 


Hostname Information 


stType: © t(2) © DNS Host (Round Robin) 人 ©@ 


os 
1 
© port 80 Redirect edirect 


IP Address: |140.116.44,180 Es 4 


Assignto Group: | - No Group - =| 区 Configure Groups © 
Enable Wildcard: ‘Wildcards are a Plus /Enhanced feature. Uporade Now! J 


+ Accept Mailfor your Domain 
Let No-IP do the dirty work. Setup POP or forwarding for your name. 


Mail Options 

MX Record 5 MX Priority 

Enter the name of pe exchangers (mx records) as hostnames not IP addresses 

| vbiritsai no-ip org 5 可 @ 


Ifyou would like a more MX records, please upgyrade to No-IP Plus or Enhanced. ~ 


图 10.2-7、 登 入 NO IP 网 站 后 的 示意 图 


上 图 的 重点 在 于 『Add a Host (新 增 一 个 主机 名 )J 及 『Manage Hosts ( 管 
理 主 


ee 
a Host 


新 增 一 笔 主机 名 吧 ! 按 下 那个 图 示 ， 之 后 就 会 出 现 底下 的 画面 : 

图 10.2-8、 新 增 一 个 主机 名 与 卫 对 应 的 方式 

主要 填写 的 内 容 为 : 

1. 你 想 要 的 主机 名 ; 

2. No IP 网 站 提供 的 领域 名 ， 与 上 个 名 称 组 合成 完整 的 主机 名 ; 

3. 选择 单一 主机 的 IP 对应; 

4. 填写 该 主机 名 对 应 的 正确 耳 为 何 (后 续 可 以 透 过 程序 直接 修改 ， 这 
里 随便 填 也 没关系 ) 

5. 只 与 mail server 有 关 ， 所 以 写 不 写 都 无 所 谓 ， 不 过 ， 建 议 填写 自 
己 的 主机 名 即 可 


net.giang@hotmail.com 


Hosts /Redirec DNS Hosting Domain Registration | SSL Certificates Monitoring 
. 
加 Hosts/Redirects M 
Pry 二 anage Hosts 
+ Add Host NN g 


+ Manadge Hosts 


+ Manage Groups Current Hosts: 1 of5 Need More Hosts? Enhancl 


+ Download Client 


+ Upyrade to Enhanced | Host IP/URL 


Hosts By Domain 
了 AS Need redundancy 已 
LT2foryourmailserver? no-ip.org 


vbirdtsaino-ip,org 140.116.44.180 


6. 若 上 述 数据 都 正确 ， 按 下 Create Host 即 可 建立 成 功 。 如 果 该 主机 
2 屏幕 会 出 现 警告 讯息 ， 此 时 请 再 选 填 另 外 的 主机 


吧 ! 


如 琳 一 切 都 没有 问题 的 话 ， 应 该 束 会 出 现 如 下 所 示 的 图 示 。 示 来 如 末 
你 想 要 更 新 


或 者 是 删除 或 者 是 新 增 主 机 名 的 话 ， 殊 透 过 下 图 的 示意 流程 来 处 理 即 
可 。 且 由 


下 图 你 也 可 以 知道 ，NO IP 有 提供 5 个 免费 的 主机 名 给 你 使 用 喔 ! 真 
征 太 棒 了 ! 


如 果 你 想 要 维护 相关 数据 ， 束 使 用 『 Manage Hosts 」 按钮 即 可 处 理 
了 


图 10.2-9、 主 机 名 处 理 完毕 与 维护 的 示意 画面 
0 
5. 设 定 目 动 更 新 主机 名 与 IP 的 对 应 


如 果 系 统 重 狐 启 动 ， 或 者 是 重新 拨 接 取得 一 个 新 的 卫 后 ， 我 们 都 要 登 
入 no-ip 


网 站 来 修改 的 话 ， 那 就 太 没 有 效率 了 ! 所 以 no-ip 提供 一 个 好 用 的 客户 
端 程序 

给 系统 管理 员 使 用 ， 你 可 以 在 no-ip 官网 右上 方 的 TDownloadJ 处 选 
择 相 天 的 


档案 。 该 网 站 目前 提供 给 Linux Windows 与 MAC 等 系统 使 用 的 程 
序 ， 非 常 方 


人 
动 色 


Linux 系统 上 吧 ! 整个 安装 与 启用 的 流程 式 这 样 的 : 
#1. 编译 与 安装 : 

[root@www ~]# wget \ 

> http://www.no-ip.com/client/linux/noip-duc-linux.tar.gz 
net.giang@hotmail.com 

[root@www ~]# cd /usr/local/src 

[root@www srcl# tar -ZXvf /root/noip-duc-linux.tar.gz 


[root@www src]# cd noip-* 


# 注意 一 下 ， 这 个 目录 里 面 有 个 文件 名 为 README.FIRST 的 档案 ， 务 
必 察 看 一 


下 内 容 ! 

[root@www noip]#make 

[root@www noip]# make install 

# 这 样 会 将 主 程序 安装 在 /usr/local/bin/noip2 而 主 参数 档 放 在 


# /usr/local/etc/no-ip2.conf 当中 ! 然后 你 必须 要 开始 回答 一 些 问题 : 


Please select the Internet interface from this list. 
By typing the number associated with it. 
0 eth0 


1 eth1 


<== 因 为 乌 哥 的 主机 对 外 使 用 eth0 接口 
Please enter the login/email string for no-ip.com kiki@gmail.com 


Please enter the password for user 'kiki@gmail.com,' *** 


# 上 面 这 两 个 是 你 刚刚 注册 时 所 填写 的 email 与 密码 喔 ! 


Only one host [vbirdtsai.no-ip.org] is registered to this account. 
It will be used. 

Please enter an update interval:[30] 

Do you wish to run something at successful update?[N] (y/N)n 
mv /tmpmo-ip2.conf /usr/local/etc/no-ip2.conf 

# 重点 在 此 ! 刚刚 你 做 的 配置 文件 被 放 到 上 面 这 个 档案 中 了 ! 


no-ip 制作 完毕 ， 而 且 也 可 以 开始 来 执行 嘿 ! 执行 的 方法 
是 很 


简单 啦 ! 

# 2. noip2 的 程序 使 用 : 

[root@www ~]# /usr/local/bin/noip2 

# 不 要 怀疑 ! 这 样 输入 后 ， 你 在 no-ip 上 面 注 册 的 主机 名 ， 

# 就 开始 可 以 自动 的 产生 对 应 了 ! 就 这 么 简单 ! 

[root@www ~}]# noip2 [-CS] 

选项 与 参数 : 

-C: 重新 设 定 参数 ， 亦 即 设 定 刚刚 我 们 上 面 输 入 粗 体 字 的 吹 吃 ! 


如 果 你 有 两 个 以 上 的 no-ip 主机 名 时 ， 束 一 定 需 要 使 用 noip2 -C 
来 重新 设 定 参数 档案 ! 


net.giang@hotmail.com 


0 
0 


-S : 将 目前 的 noip2 的 状况 显示 出 来 ! 

[root@www ~]# noip2 -9 

1 noip2 process active. 

Process 2496, started as /usr/local/src/noip-2.1.9-1/noip2, (version 
2.1.9) 

Using configuration from /usr/local/etc/no-ip2.conf 

Last IP Address set 140.116.44.180 

Account kiki@gmail.com 

configured for: 

host vbirdtsai.no-ip.org 


Updating every 30 minutes via /dev/eth0 with NAT enabled. 


哩 咖 ! 这 样 殉 成 功 了 ! 而 且 每 30 分 钟 noip2 可 以 目 动 的 去 主 网 站 上 面 
进行 更 


新 呢 ! 真是 很 不 错 ! 那 如 果 想 要 一 开机 束 启 动 noip2 呢 ? 这样 做 即 可 : 
# 3. 设 定 开机 局 动 : 


[root@www ~]# vim /etc/rc.d/rc.local 

# 加 入 属 下 这 一 行 ， 

/usr/local/bin/noip2 

10.3 重点 回顾 

0 主机 名 的 目的 在 辅助 人 们 记忆 TCP/P 的 卫 数值 ; 

0 主机 名 与 IP 的 对 应 ， 由 早期 的 /etc/hosts 变更 为 DNS 系统 来 记录 


0 合法 的 主机 名 必须 要 透 过 合法 授权 后 ， 才 能 够 在 Internet 上 面 完整 的 
生 戏 


0 除了 议 态 的 主机 名 与 IP 对 应 外 ， 辱 是 不 固定 IP 的 联机 模式 ， 可 以 透 


过 动 

态 DNS 服务 ， 来 达成 非 固定 IP 永远 指向 同一 个 主机 名 的 任务 。 
10.4 本 章 习 题 

DD 请 简易 说 明 /etc/hosts 的 用 途 ; 


0 
私 


网 域 的 名 称 解析 上 ， 可 以 加 快 内 部 网 域 的 反 碍 喔 ! 
0 请 说 明 『 合 法 授权 J 的 主机 名 需要 做 什么 ? 


net.giang@hotmail.com 


0 


如 果 想 要 合法 授权 ， 就 需要 向 上 层 DNS 主机 『 注 册 4 才 行 ! 而 且 还 要 
上 层 DNS 


主机 管理 员 愿 意 将 领域 名 的 解析 权限 授权 给 你 啊 ! 
什么 是 动态 DNS 系统 ? ( 仅 说 明 client 端 ) 


因为 我 们 的 Client 拨 接 时 ， 得 到 的 IP 都 不 是 固定 的 ， 所 以 无 法 以 DNS 


5 


统 进 行 固 定 卫 对 应 主机 名 的 工作 ! 此 时 就 需要 动态 DNS 系统 了 ! 以 
DNS 主 


机 提供 的 动态 更 新 主机 名 对 应 I 的 机 制 ， 可 以 让 我 们 的 不 同 卫 对 应 到 
同一 个 


主机 名 呐 ! 
0 如 琳 你 使 用 adsl 拨 接 来 上 网 设 定 服务 右 ， 那 么 该 申请 哪 一 类 型 的 主 
机 名 ? 


为 什么 ? 


因为 我 是 以 ADSL 上 网 拨 接 ， 所 以 IP 是 不 固定 的 ， 此 时 需要 申请 动态 
DNS 


主机 的 主机 名 ， 例 如 no-ip.org 等 等 ! 
10.5 参考 数据 与 延伸 阅读 


»: http:/www.twnic.net/ 
名 系统 :http://www.netsol.com/ 
加 系统 :http://www.dotster.com/ 
0D 国外 的 免费 DNS 系统 :_http:/www.no-ip.com 
2002/08/05: 第 一 次 完成 日 期 ! 


2003/08/26: 修改 篇 名 、 增 加 一 no-ip 的 设 定 方式 ! 


2006/09/15: 将 旧 的 文章 移动 到 此 处 。 
2011/02/09: 将 基于 CentOS 4.x 所 写 的 文章 移动 到 此 处 


2011/02/15: 由 于 noip 网 站 页 面 有 变更 ， 作 了 一 些 图 片 的 重新 处 理 ， 其 
他 则 是 大 同 小 


异 。 


2011/07/23: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


net.giang@hotmail.com 


第 三 部 分 :局域网 络 内 第 见 的 服务 占 染 设 


在 开始 实际 Linux 的 网 络 服务 器 架设 之 前 ， 切 记 前 面 两 篇 的 内 容 都 已 
经 阅读 过 ， 


并 且 已 经 强化 您 主机 的 网 络 安全 后 ， 才 开始 架设 吧 ! 老实 说 ， 人 台湾 中 
小 企业 非常 多 ， 


企业 人 员 常 第 需要 共 译 一 些 数 据 ， 这 些 数据 当然 不 会 传送 到 因特网 
上 ， 而 是 在 内 部 局 域 


网 络 上 传输 的 。 因此， 局 域 网 络 内 部 的 服务 紫 染 设 量 可 能 比 我 们 因 特 
网 上 面 的 服务 紫 


还 要 多 呢 ! 所 以 说 ,我 们 先 来 了 解 一 下 局 域 网 络 内 营 见 的 服务 絮 吧 。 


在 这 一 篇 当中 ， 我 们 主要 会 介绍 管理 服务 器 用 的 联机 服务 器 如 ssh， 
xdmcp, VNC， 


xrdp 等 服务 ， 然 后 针对 网 络 参数 管理 部 份 来 介绍 DHCP 服务 器 ， 在 针 
对 文件 服务 器 的 


NFS, SAMBA 等 服务 ， 再 介绍 与 NFS 相关 性 很 强 的 账号 同步 的 NIS 服 
务 器 ， 然 后 介绍 


两 个 常见 的 服务 器 ， 包 括 时 间 同 步 的 NTP 与 网 络 监控 能 力 较 佳 的 
Proxy 服务 器 ， 最 


终 再 讲 一 个 磁盘 不 够 时 的 iSCSI 仿真 器 吧 ! 
net.giang@hotmail.com 

第 十 一 革 、 远 程 联机 服务 器 SSH / XDMCP / VNC / RDP 
最 近 更 新 日 期 :2011/11/24 


维护 网 络 服务 器 最 倍 单 的 方式 不 有 古 跑 去 实体 服务 器 前 面 登入 ， 而 古 透 
过 远程 联机 服务 器 联机 功能 来 登入 

主机 ， 然 后 再 来 进行 其 他 有 的 没 的 维护 整 是 了 。Linux 主机 几乎 都 会 
提供 sshd 这 个 联机 服务 ， 而 且 这 

个 服务 还 是 主动 进行 数据 加 密 的 ! 讯息 在 网 络 上 面 跑 安 全 多 了 。 同 时 
我 们 还 能 透 过 rsync 这 个 指令 以 

sshd 信道 来 达成 异地 数据 备 援 的 功能 哩 ! 相当 不 赖 。 如 果 想 要 利用 图 
形 接口 人 入， 那么 夭 认 的 Xdmcp 配 


合 VNC 就 能 够 使 用 图 形 接口 在 网 络 的 另 一 端 登入 你 的 服务 硕 ! 如 果 你 
习惯 使 用 Windows 的 远程 桌面 ， 


那么 XRDP 也 不 要 放 过 哆 | 
11.1 远程 四 务 器 
11.1.1 什么 是 远程 四 务 器 


11.1.2 有 哪些 可 供 登入 的 类 型 ? 


11.2 文字 楼 口 职 务 器 : SSH 服务 器 


pietty, Psftp, filezilla 


ssh HH 让: _ ssh-keygen 


manager: _ vnCservel, 


11.5 仿真 的 远程 系统 ， XRDP 服务 器 
11.6 SSH 服务 器 的 进 阶 应 用 
11.6.1 启动 ssh 在 非 正规 堤 口 ( 非 port 22) 


11.6.2 DM rsynce!1 
11.6.3 透 过 ssh 通道 


11.8 课 后 练 > 


net.giang@hotmail.com 


11.10 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=114550 
11.1 远程 联机 服务 屁 


远程 联机 服务 夯 对 我 们 来 说 ， 可 征 一 项 很 有 用 的 工具 啊 ! 他 可 以 让 我 
们 更 方便 的 管 


理 主 机 。 不 过， 方便 归 方 便 ， 但 开放 全 世界 都 可 以 尝试 登入 你 的 主机 
并 不 个 好 主意 ， 


因为 可 能 会 有 安全 性 的 问题 呐 ! 所 以 本 章 才 要 特别 强调 一 下 这 个 玩意 
儿 啊 ! 


11.1.1 什么 是 远程 联机 服务 妖 


下 和 完 ， 我们 来 了 解 一 下 ， 什 么 是 『 远 程 联 机 服务 絮 4? 这 个 东西 的 功 
能 为 何 ? 我 


想 ， 你 应 该 已 经 昕 过 ， 一 部 开放 到 因特网 上 的 服务 器 ， 基 本 上 ， 它 可 
以 不 需要 屏幕 、 键 


、 姐 标 等 等 的 周边 配备 ， 只 要 有 基本 的 主板 、CPU、RAM 、 硬 盘 再 
加 上 一 块 好 一 点 的 


网 络 卡 ， 并 且 连 上 因特网 ， 那 这 部 主机 束 能 够 提供 你 有 需要 的 网 络 服 
务 了 。 但 如 果 你 


需要 重新 设 定 这 部 主机 ， 该 如 何 登 入 主机 取得 类 似 bash 的 接口 来 操纵 
与 进行 修改 呢 ? 


那 丈 得 要 透 过 联机 服务 需 的 服务 了 。 


征 的 ! 你 猜 对 啦 ， 远 程 联机 服务 郁 在 提供 你 由 远程 透 过 文字 或 岁 形 接 
口 的 方式 来 登 


入 系统 ， 让 你 在 远程 的 工作 机 前 面 登入 Linux 主机 以 取得 可 操控 主机 
之 接口 (shel])， 


而 登入 后 的 操作 感觉 上 就 像 坐 在 系统 前 面 一 样 ! 所 以 啦 ， 你 当然 不 需 
要 远程 网 络 服务 


器 的 键 一 、 鼠 标 、 屏 幕 等 等 。 你 只 要 工作 机 可 以 正常 联机 到 远程 主机 
印 可 啊 。 


以 乌 哥 个 人 为 例 ， 目 前 乌 哥 管理 十 几 部 的 Unix-Like 主机 ， 这 些 主机 都 
不 放 在 同 


一 个 地 方 ， 分 布 在 南台 湾 各 处 ! 那么 当 有 新 的 软件 的 漏洞 被 发 布 ， 或 
者 是 需要 进行 一 


些 额 外 的 设 定 的 时 候 ， 是 否 乌 哥 本 人 一 定 要 到 现场 吗 ?” 当然 不 需要 ， 
只 要 透 过 网 络 联 


机 到 该 主机 上 面 ， 丈 可 以 进行 任何 工作 了 ! 真 的 融 好 像 在 主机 前 面 工 
作 一 般 的 轻松 愉快 ! 


和信! 这 束 是 远程 联机 服务 器 啦 ! 


Tips: 

很 多 人 会 说 ， 我 用 FTP 也 要 输入 账号 密码 来 登入 啊 ? 那 与 这 个 章节 
谈 到 的 登 和 有 何不 同 ? 最 大 的 不 同 在 于 取得 的 shell 能 进行 的 工 
作 啦 ! 用 ssh/telnet/VNC 等 方式 取得 的 文字 或 图 形 shell 能 够 进 

行 很 多 系统 管理 的 任务 ， 与 单纯 的 FTP 能 进行 的 工作 当然 不 同 ! 


品 
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当 你 的 工作 需要 使 用 到 Linux 强大 的 程序 语言 编译 功能 时 ， 那 么 你 一 
定 需要 

Linux 对 吧 ! 而 且 最 好 是 指令 周期 快 一 点 的 主机 ， 这 个 时 候 你 可 以 将 
你 研究 室 最 快 的 


那 一 部 主机 开放 出 来 ， 设 定 一 下 远程 联机 服务 右 ， 让 你 的 学 生 啦 ， 或 
者 十 俩 完 室 的 同仁 


啦 ， 可 以 透 过 这 部 机 器 帮 他 们 进行 研究 的 工作 ， 这 个 时 候 ， 你 的 主机 
就 可 以 让 多 人 进 


行 分 享 Linux 运算 的 功能 啦 ! 


举例 来 说 ， 乌 哥 与 昆山 还 有 长 荣 大 学 的 老师 、 同 学 们 组 建 了 一 组 服务 
妖 等 级 的 从 集 


架构 计算 机 (PC cluster)， 目前 我 们 在 该 计算 机 上 面 跑 MM5 、Models3 


等 大 气 与 空 


气质 量 模式 ， 要 在 这 样 的 架构 底下 跑 数值 模式 的 原因 ， 主 要 就 是 考虑 
运算 能 力 。 那 会 


使 用 到 该 组 计算 机 的 有 好 多 人 ， 难 道 大 家 都 在 挤 在 一 部 屏幕 前 面 工 
作 ? 当然 不 需要 啦 | 


这 时 候 殉 是 远程 联机 服务 夯 的 服务 范围 哆 


但 是 否 每 一 部 连 到 Internet 上 面 的 主机 都 应 该 要 开放 远程 联机 的 功能 
呢 ? 其 实 


并 不 尽 然 ， 还 是 需要 针对 你 的 主机 来 进行 规划 的 ， 我 们 底下 分 服务 器 
与 工作 站 来 说 明 : 


0 
服务 器 类 型 (Server) : 有 限度 的 开放 联机 


ee 
重 言 层 ， 


而 远程 联机 程序 连 进 主机 之 后 ， 可 以 进行 的 工作 又 太 多 了 (几乎 号 像 在 
主机 前 面 工作 一 


般 ! )， 因 此 服务 器 的 远程 联机 程序 通常 仅 针 对 少 部 分 系统 维护 者 开放 
而 已 ! 除非 必要 ， 


否则 Server 类 型 的 主机 还 真 的 不 建议 开放 联机 的 服务 呢 ! 


以 乌 哥 为 例 ， 我 的 主机 提供 了 我 们 研究 室 使 用 Mail 与 Internet 上 面 的 
WWW 服 


务 ， 如 果 还 主动 提供 远程 联机 的 话 ， 那 么 万 一 不 小 心 被 入 侵 ， 那 可 融 
伤 脑筋 了 ! 因此 ， 


鸟 哥 仅 开 放 『 很 小 部 分 的 网 域 ] 让 系统 管理 员 连 进来 ， 其 他 来 源 的 IP 
二 位 报 朱 上 不 


许 使 用 远程 联机 的 功能 呢 ! 
吕 
工作 站 类 型 (Workstation) : 只 对 内 网 开放 


所 谓 的 工作 站 天 是 不 提供 因 符 网 服务 的 主机 ， 仅 提供 大 量 的 运算 能 力 
给 使 用 省 脱 


然 不 提供 因特网 的 服务 ， 那 你 还 开 联机 服务 占 干 嘱 ? 不 是 啦 ! 像 前 面 
乌 哥 提 到 的 PC 


cluster 大 量 运 算 的 整 组 计算 机 ， 也 可 以 称 之 为 工作 站 ， 因 为 它 没 有 所 
供 第 见 的 网 络 


服务 嘛 ! 不 过 必须 要 提供 给 使 用 者 登入 的 权限 ， 这 样 大 家 才 用 的 到 运 
算 功 能 啊 ! 此 时 


你 束 得 要 针对 内 部 ， 或 者 是 特定 的 某 些 来 源 开 放 他 们 使 用 你 的 工作 站 
虽 ! 


11.1.2 有 哪些 可 供 登 入 的 类 型 ? 


net.giang@hotmail.com 


那么 目前 远程 联机 服务 器 的 主要 类 型 有 哪些 ? 如 来 以 登入 的 联机 界面 


来 分 类 ， 基 本 

上 有 文字 接口 与 图 形 接口 两 种 : 

0 文字 接口 明码 : ”telnet, rsh 等 为 主 ， 目 前 非常 少 用 ; 

0 文字 接口 密码 ssh 为 主 ， 已 经 取代 上 壕 的 telnet, rsh 等 明码 方式 ; 
0 图 形 接口 : Xdmcp, VNC, RDP 等 较为 常见 

在 文字 接口 登入 的 联机 服务 器 ， 主 要 有 以 『 明 码 J 传送 数据 的 telnet 服 
务 器 ， 及 


以 加 密 技术 进行 数据 加 密 再 传送 的 SSH 服务 器 ! 虽然 telnet 可 以 文 持 
的 客户 端 软件 


比较 多 ， 不 过 由 于 它 征 使 用 明码 来 传送 数据 ， 你 的 数据 很 容易 遭 到 有 
心 人 士 的 撒 取 ! 所 


以 近来 我 们 都 呼吁 大 家 多 使 用 SSH 这 一 种 联机 方式 
人 至 于 网 形 接口 的 联机 服务 器 ， 比 较 简 单 的 有 Xdmcp (X Display Manager 


Control 


Protocol)， 架 设 Xdmcp 很 简单 ， 不 过 客户 端的 软件 比较 少 。 夯 外 一 款 
目前 很 季 见 的 


图 形 联机 服务 右 ， 束 是 VNC (Virtual Network Computing)， 透 过 VNC 
server/client 


软件 来 进行 连接 。 如 果 你 想 要 使 用 类 似 Windows 的 远程 果 面 联机 ， 该 
功能 使 用 的 是 RDP 


(Remote Desktop Protocol)， 那 你 可 得 要 架设 RDP 服务 器 才 行 。 
Tips: 

图 形 接口 最 大 的 优点 是 了 图形 J 啊 ! 不 过 ， 因 为 是 透 过 图 形 来 传送 ， 
传输 的 数据 量 相当 的 大 ， 所 以 速度 与 安全 性 都 有 待考 虑 。 因 此 ， 我 
们 仅 建 议 你 将 图 形 接口 的 远程 登录 服务 器 开放 在 内 部 网 域 LAN) 
就 好 了 ! 

0 

数据 传送 的 明码 与 密码 


什么 是 『 明 码 4 与 『 了 加密 J」 的 数据 封包 传送 模式 呢 ? 为 什么 telnet 使 用 
明码 束 比 


较 不 安全 ? 所 谓 的 明码 就 是 : 『 当 我 们 的 数据 封包 在 网 络 上 传输 时 ， 
该 数据 封包 的 内 


容 为 数据 的 原始 格式 上 4， 也 就 是 说 ， 你 使 用 telnet 登入 远程 主机 时 ， 
不 是 得 要 输入 


账号 密码 吗 ? 那 你 的 账号 密码 是 以 原本 的 数据 格式 传输 ， 所 以 如 采 被 
类 似 tcpdump 之 


类 的 监听 软件 搬 取 数据 ， 那 你 的 帐 密 殊 有 可 能 被 锚 取 啦 ! 


所 以 啦 ， 万 一 你 的 数据 封包 里 面 合 有 信用 卡 数 据 、 密 码 、 喘 份 确认 等 
重要 信息 时 ， 


征 否 很 危险 呐 ? 因此 ， 目 前 我 们 通 音 都 布 望 使 用 可 以 将 这 些 在 网 络 上 
面 跑 的 数据 加 密 


的 技术 ， 以 增加 数据 在 Internet 上 面 传送 的 安全 性 啊 ! 

Tips: 

说 ssh 比较 安全 ， 其 实 是 透 过 ssh 信道 传输 讯息 时 ， 该 讯息 在 网 

络 上 面 比较 安全 ， 因 为 数据 是 加 密 过 的 ， 即 使 被 窃取 ， 对 方 可 能 
` 会 知道 数据 内 容 为 何 ， 因 此 信息 比较 安全 。 但 这 不 代表 ssh 这 个 

通讯 协议 就 比较 安全 喔 ! 两 者 意义 不 同 ! 
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由 于 明码 传输 的 telnet, rsh 等 联机 服务 融 已 经 被 ssh 取代 ， 并 且 在 一 些 
实际 应 


用 上 已 经 很 少 看 到 telnet 与 rsh 了 ， 因此 本 章 在 文字 接口 上 着 重 于 介绍 
ssh 的 应 


用 ， 包 括 以 rsync 类 由 ssh 通道 来 进行 异地 备 援 的 任务 等 等 。 至 于 图 形 
接口 则 会 介绍 


Xdmcp, VNC 与 RDP 喔 ! 因为 很 多 工作 站 用 户 需要 显示 他 们 在 工作 站 
实 作 后 的 图 形 呈 现 ， 


因此 这 部 分 也 是 很 重要 的 呢 ! 


11.2 文字 接口 联机 服务 器 : SSH 服务 器 


由 于 先前 的 远程 联机 服务 器 大 多 是 明码 ， 而 且 协 议 也 有 些 资 安 问题 ， 
因此 后 来 束 有 


SSH 这 个 协议 来 取代 上 述 这 些 吃 路 。 那么 SSH 是 什么 呢 ? 它 有 什么 特 
异 功 能 ? 简单 的 


来 说 ，SSH 是 Secure SHell protocol 的 简写 (安全 的 壳 程 序 协议 )， 它 可 
以 透 过 数据 


封包 加 密 技 术 ， 将 等 竺 传输 的 封包 加 密 后 再 传输 到 网 络 上 ， 因 此 ， 数 
据 讯 轧 当 然 焉 比 


较 安 全 嘿 ! 这 个 SSH 可 以 用 来 取代 较 不 安全 的 finger, R Shell (rcp， 
rlogin, rsh 


等 ), talk 及 telnet 等 联机 模式 。 故 下 我 们 将 先 简 介 一 下 SSH 的 联机 模 
式 ， 来 说 明 


为 什么 SSH 的 数据 讯 居 会 比较 安全 呢 ! 
特别 注意 : 这 个 SSH 协议 ， 在 预 设 的 状态 中 ， 本 身 就 提供 两 个 服务 器 


1. 一 个 就 是 类 似 telnet 的 远程 联机 使 用 shell 的 服务 器 ， 亦 即 是 俗称 的 
ssh ; 

2. 男 一 个 就 是 类 似 FTP 服务 的 sftp-server ! 提供 更 安全 的 FTP 服务 。 
11.2.1 联机 加 密 技 术 简 介 


什么 是 『 数 据 加 密 J 呢 ? 简单 的 说 ， 就 是 将 人 们 看 的 懂得 原始 电子 数 
据 ， 经 过 一 些 


运算 ， 让 这 些 数据 变 成 没有 意义 的 乱码 (至 少 对 人 类 来 说 )， 然 后 再 让 
这 个 吃 噬 在 网 络 


上 面 传输 ， 而 当 用 户 想 要 得 阅 这 个 数据 时 ， 再 透 过 解密 运算 ， 将 这 些 
哎 噬 反 推 出 原始 


的 电子 数据 。 由 于 这 些 数据 已 经 被 重新 处 理 过 ， 所 以 ， 即 使 数据 在 因 
特 网 上 被 cracker 


监听 而 镭 取 ， 他 们 也 不 容易 束 推 算得 出 来 原始 资料 内 容 的 。 
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5 端的 公物 > 用 户 端的 私 钢 DD 
伺服 器 的 私 名 a 伺服 器 的 公 SS 


Tips: 

鸟 哥 常常 说 ， 加 密 机 制 有 点 像 是 两 个 人 之 间 的 火星 语 对 话 啦 ! 如 果 
你 跟 你 的 朋友 约定 好 使 用 你 们 制订 的 某 种 特别 语言 ， 这 个 语言 只 对 
你 们 两 个 有 意义 。 那 么 当 你 们 两 人 讲话 时 ， 在 旁边 的 人 听 到 的 只 是 
一 堆 没 有 意义 的 声音 ， 因 为 他 们 听 不 懂 啊 ! 即使 路 人 将 你 的 声音 录 
下 来 ， 只 要 他 不 知道 你 们 的 特殊 用 语 ， 那 他 就 不 可 能 了 解 你 们 对 话 


的 内 容 哎 。 


加 解密 运算 的 机 制 与 技术 非常 多 ， 我 们 这 里 不 去 讨论 复杂 的 理论 问 
题 ， 只 谈 对 我 们 比较 


有 关 的 一 些 加 解密 概念 而 已 。 目前 常见 的 网 络 封包 加 密 技术 通常 是 
由 所 谓 的 『 非 对 


称 密 钥 系 统 4 来 处 理 的 。 主要 是 透 过 两 把 不 一 样 的 公 钥 与 私 钥 (Public 


and Private 


Key) 来 进行 加 密 与 解密 的 过 程 。 由 于 这 两 把 钥匙 是 提供 加 解密 的 功 
用 ， 所 以 在 同一 个 


方向 的 联机 中 ， 这 两 把 钥匙 当然 是 需要 成 对 的 ! 它 的 功用 分 别 如 下 : 
pe 
说 ， 


计 


家 都 能 取得 你 的 公 钥 来 将 数据 加 密 的 意思 ; 
四 2 (private key): 远程 主机 使 用 你 的 公 钥 加 密 的 数据 ， 在 本 地 端 束 


能 


使 用 私 钥 来 进行 解密 。 由 于 私 钥 是 这 么 的 重要 ， 因 此 私 钥 是 不 能 够 外 


流 的 ! 只 
能 你 护 在 目 己 的 主机 上 。 


由 于 每 部 主机 都 应 该 有 自己 的 密 钥 ( 公 钥 与 私 钥 )， 且 公 钥 用 来 加 密 而 
私 钥 用 来 解 


密 ， 其 中 私 钥 不 可 外 流 。 但 因为 网 络 联机 是 双向 的 ， 所 以 ， 每 个 人 应 
该 部 要 有 对 方 的 


『 公 钥 4 才 对 ! 那 如 果 以 ssh 这 个 通讯 协议 来 说 ， 在 客户 端 与 服务 器 端 
的 相对 联机 方 


向 上 ， 应 该 有 如 下 的 加 密 动 作 : 
图 11.2-1、 公 钥 与 私 钥 在 进行 数据 传输 时 的 角色 示意 图 


如 上 图 所 示 ， 我 们 如 有 果 站 在 客户 端的 角度 来 看 ， 那 么 ， 首 先 你 必须 要 
取得 服务 万 端 


的 公 铀 ， 然后 将 目 己 的 公 钥 发 送 给 服务 融 端 ， 最 终 在 客户 端 上 面 的 密 
钥 会 是 『 服 务 紫 


的 公 钥 加 上 客户 端 我 自己 的 私 钥 J 来 组 成 的 。 

Tips: 

数据 加 密 的 技术 真 的 相当 的 多 ， 也 各 有 其 优 缺 点 ， 有 的 指令 周期 快 ， 
但 是 不 够 安全 ;有 的 够 安全 ， 但 是 加 密 /解密 的 速度 较 慢 ~ 目前 在 
SSH 使 用 上 ， 主 要 是 利用 RSA/DSA/Diffie-Hellman 等 机 制 喔 ! 
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伺服 器 的 公 答 资料 记录 擒 


1. 第 一 次 氛 动 sshd 竺 ， 自 点 之 
往 产 生成 对 公私 给 放 闯 认 ~ /sshyknown hosts 
| TET、 
后 成 篇 米 
ietc/ssh/ssh_host_* 开始 这 算 用 户 成 对 的 公私 铀 寞 料 


目前 SSH 的 协议 版 本 有 两 种 ， 分 别 是 version 1 与 version 2 ， 其 中 V2 
由 于 加 上 

了 联机 检测 的 机 制 ， 可 以 避免 联机 期 间 被 插入 恶意 的 攻击 码 ， 因 此 比 
V1 还 要 更 加 的 


安全 。 所 以 史 ， 请 尽量 使 用 V2 版 本 即 可 ， 不 要 使 用 V1 吵 。 无论 起 哪 
种 版 本 ， 都 还 


是 需要 公私 钥 加 密 系统 的 ， 那 么 这 些 公 钥 与 私 钥 是 如 何 产生 的 呢 ? 底 
下 我 们 就 来 谈 一 谈 


啦 ! 
0D 
SSH 的 联机 行为 简介 


0 0 0 0 0 0 
明 如 后 : 


图 11.2-2、ssh 服务 器 端 与 客户 站 的 联机 步 又 示意 
1. 服务 器 建立 公 钥 档 : 每 一 次 启动 sshd 服务 时 ， 该 服务 会 主动 去 找 


/etc/ssh/ssh_host* 的 档案 ， 若 系统 刚刚 安装 完成 时 ， 由 于 没有 这 些 公 钥 
档案 ， 


因此 sshd 会 主动 去 计算 出 这 些 需 要 的 公 钥 档案 ， 同 时 也 会 计算 出 服务 
器 上 自己 需 


要 的 私 钥 档 ; 


2. 客户 端 主动 联机 要 求 : 大 客 户 端 想 要 联机 到 ssh 服务 右 ， 则 需要 使 
用 适当 


的 客户 端 程序 来 联机 ， 包 括 ssh, pietty 等 客户 端 程序 ; 


3. 服务 右 传 送 公 钥 档 给 客户 端 ， 接收 到 客户 端的 要 求 后 ， 服 务 紫 便 将 
第 一 个 
步 又 取得 的 公 铀 档案 传送 给 客户 站 使 用 (此 时 应 是 明码 传送 ， 肥 正 公 钠 


本 来 束 古 


给 大 家 使 用 的 ! ); 


4. 客户 只 记录 / 比 对 服务 天 的 公 钥 数据 及 随机 计算 目 己 的 公私 钥 : ”知客 
户 端 第 


一 次 连接 到 此 服务 人 器 ， 则 会 将 服务 瑚 的 公 角 数据 记录 到 客户 端的 用 户 
家 目录 内 的 


~/.Ssh/known_hosts。 知 是 已 经 记录 过 该 服务 需 的 公 钥 数据 ， 则 客户 端 
会 去 比 
2 


对 此 次 接收 到 的 与 之 前 的 记录 是 否 有 差异 。 若 接受 此 公 钥 数据 ， 则 开 
计算 客 


户 端 目 己 的 公私 钥 数 据 ; 


5. 回 传 客户 端的 公 角 数据 到 服务 瑚 端 : 用 户 将 目 己 的 公 钥 传送 给 服务 
堆 。 此 


时 服务 大: 了 具有 服务 闫 的 私 钥 与 客户 端的 公 钥 上 ， 而 客户 问 则 是 : 
【具有 上 服 


务 郁 的 公 钥 以 及 客户 端 目 己 的 私 钥 4 ， 你 会 看 到 ， 在 此 次 联机 的 服务 


的 密 钥 系统 ( 公 钥 + 私 钥 ) 并 不 一 样 ， 所 以 才 称 为 非 对 称 式 密 钥 系统 喔 。 
net.giang@hotmail.com 
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6. 开始 双 加 加 解密 : (1) 服 务 右 到 客户 逆 ， 服务 右 传 送 数据 时 ， 拿 用 户 
的 公 和 钥 


加 锋 后 送出 。 客 户 问 接收 后 ， 用 目 己 的 私 钥 解 密 ;， (2) 客 户 端 到 服务 
絮 : 客户 端 


传送 数据 时 ， 拿 服务 紫 的 公 和 角 加 密 后 送出 。 服 务 句 接收 后 ， 用 服务 句 
的 私 钥 解密 。 


在 上 述 的 第 4 步骤 中 ， 客 户 闪 的 密 钥 生 随 机 运算 产生 于 本 次 联机 当中 
的 ， 所 以 你 


这 次 的 联机 与 下 次 的 联机 的 密 钥 可 能 束 会 不 一 样 啦 ! 此 外 在 客户 端的 
用 户 家 目录 下 的 


~/.ssh/known_hosts 会 记录 曾经 联机 过 的 主机 的 public key ， 用 以 确认 我 
们 是 连接 


上 正确 的 那 部 服务 器 。 
例题 : 


如 何 产 生 新 的 服务 器 端的 ssh 公 铀 与 服务 器 目 己 使 用 的 成 对 私 钥 ? 
( 注 : 注 


意 ， 本 例题 不 要 在 已 经 正常 运作 的 网 络 服务 器 上 面 ， 因 为 可 能 会 造成 
其 他 客户 端的 


困扰 ! ) 


由 于 服务 需 提 供 的 公 钥 与 目 己 的 私 钥 都 放置 于 /etc/ssh/ssh_host* ， 因 此 
你 


可 以 这 样 做 : 

[root@www ~]# rm /etc/ssh/ssh_host* <== 删 除 密 钥 档 
[root@www ~]# /etc/init.d/sshd restart 

正在 停止 sshd: [ 确定 ] 

正在 产生 SSH1 RSA 主机 密 钥 : [ 确定 ] <== 克 下 三 个 步 又 重 
新 产生 密 钥 ! 

正在 产生 SSH2 RSA 主机 密 钥 : [ 确定 ] 


正在 产生 SSH2 DSA 主机 密 钥 : [ 确定 ] 

正在 激活 sshd: [ 确定 ] 

[root@www ~]# date; 1] /etc/ssh/ssh_host* 

Mon Jul 25 11:36:12 CST 2011 

-TW------- . 1 root root 668 Jul 25 11:35 /etc/ssh/ssh_host_dsa_key 
-rTW-I--I--. 1 root root 590 Jul 25 11:35 
/etc/ssh/ssh_host_dsa_key.pub 

-TW------- . 1 root root 963 Jul 25 11:35 /etc/ssh/ssh_host_ key 
-TW-T--T--. 1 root root 627 Jul 25 11:35 /etc/ssh/ssh_host_key.pub 
-TW------- . 1 root root 1675 Jul 25 11:35 /etc/ssh/ssh_host_rsa_key 
-rTW-I--I--. 1 root root 382 Jul 25 11:35 


/etc/ssh/ssh_host_rsa_key.pub 
# 有 下 上 面 输出 的 日 期 与 档案 的 建立 时 间 ， 刚 刚 建立 的 新 公 钥 、 私 钥 


六 统 1 


11.2.2 启动 SSH 服务 


事实 上 ， 在 我 们 使 用 的 Linux 系统 当中 ， 上 默认 就 已 经 含有 SSH 的 所 有 
需要 的 软件 


了 1! 这 包含 了 可 以 产生 密码 等 协议 的 OpenSSL 软件 与 OpenSSH 软件 
GED. 人 


net.giang@hotmail.com 


0 


要 启动 SSH 真 的 是 太 简 单 『! 就 直接 给 他 启动 就 是 了 ! 此 外 ， 在 目前 
的 Linux 


Distributions 当中 ， 都 是 预 设 局 动 SSH 的 ， 所 以 一 点 都 不 麻烦 ， 因 为 不 
用 去 设 定 ， 


他 束 已 经 局 动 了 ! 哇 ! 真是 严 快 ~ 无 论 如 何 ， 我 们 还 是 得 说 一 说 这 
局 动 的 方式 吧 ! 


二 接 局 动 融和 是 以 SSH daemon ， 简 称 为 sshd 来 启动 的 ， 所 以 ， 手 动 可 
以 这 样 启动 : 


[root@www ~]# /etc/init.d/sshd restart 


[root@www ~]# netstat -tlnp | grep ssh 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 :::22 :::* LISTEN 

1539/sshd 


需要 注意 的 是 ，SSH 不 但 提供 了 shell 给 我 们 使 用 ， 亦 即 是 ssh protocol 
的 主要 目 


的 ， 同 时 亦 提供 了 一 个 较为 安全 的 FTP server ， 亦 即 是 ssh-ftp server 给 
我 们 当成 
是 FTP 来 使 用 ! 所 以 ， 这 个 sshd 可 以 同时 提供 shell 与 ftp 喔 ! 而 且 都 
是 染 构 在 


port 22 上 面 的 呢 ! 所 以 ， 拘 下 我 们 整 来 提 一 提 ， 那 么 怎么 样 由 Client 
端 连接 上 


Server 端 呢 ? 同时 ， 如 何以 FTP 的 服务 来 连接 上 Server 并 且 使 用 FTP 
的 功能 呢 ? 


11.2.3 ssh 客户 端 联机 程序 - Linux 用 户 


如 琳 你 的 客户 端 是 Linux 的 话 ， 那 么 茶 喜 你 了 ， 预 设 的 情况 下 ， 你 的 
系统 已 经 有 


压 下 的 所 有 指令 ， 可 以 不 必 安 装 额 外 的 软件 喔 ! 底下 就 来 介绍 一 下 这 
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ssh : 直接 登入 远程 主机 的 指令 

SSH 在 client 端 使 用 的 是 ssh 这 个 指令 ， 这 个 指令 可 以 指定 联机 的 版 本 


(version1, version2)， 还 可 以 指定 非 正 规 的 ssh port (正规 ssh port 为 
22)。 不 


过 ， 一 般 的 用 法 可 以 使 用 底下 的 方式 : 
[root@www ~]# ssh [-f] [-o 参数 项 目 ] [-p 非 正 规 埋 口 ] [账号 @]IP [指令 ] 
选项 与 参数 : 


-f: 需要 配合 后 面 的 [指令 ] ， 不 登入 远程 主机 直接 发 送 一 个 指令 过 去 
而 已 ; 


-0 参数 项 目 : 主要 的 参数 项 目 有 : 

ConnectTimeout= 秒 数 :联机 等 待 的 秒 数 ， 减 少 等 每 的 时 间 
StrictHostKeyChecking=[yeslnolask]: 预 设 是 ask， 若 要 计 public key 
主动 加 入 known_hosts ， 则 可 以 设 定 为 no 即 可 。 
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-p : 如 果 你 的 sshd 服务 启动 在 非 正规 的 塌 口 (22)， 需 使 用 此 项 目 ; 


[指令 ] : 不 登入 远程 主机 ， 直 接 发 送 指令 过 去 。 但 与 -{ 意义 不 太 相 
同 。 


#1. 直接 联机 登入 到 对 方 主机 的 方法 (以 登入 本 机 为 例 ): 

[root@www ~]#Ssh 127.0.0.1 

The authenticity of host '127.0.0.1 (127.0.0.1)" can't be established. 

RSA key fingerprint is 

eb:12:07:84:b9:3b:3f:e4:ad:ba:f1:85:41:fc:18:3b. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '127.0.0.1 (RSA) to the list of known hosts. 
root@127.0.0.1's password: <== 在 这 里 输入 root 的 密码 即 可 ! 

Last login: Mon Jul 25 11:36:06 2011 from 192.168.1.101 

[root@www ~]# exit <== 离 开 这 次 的 ssh 联机 


# 由 于 ssh 后 面 没有 加 上 账号 ， 因 此 预 设 使 用 当前 的 账号 来 登入 远程 服 
务 胡 


一 般 使 用 ssh 登入 远程 主机 ， 都 会 填写 『 ssh 账号 @ 主 机 IP 4 的 格式 ， 
意思 是 说 ， 

使 用 该 主机 的 某 账 号 登入 的 意思 。 但 是 很 多 朋友 都 不 喜欢 写 账 号 ， 亦 
即使 用 『 ssh 主 


机 IP J 的 格式 。 如 同上 面 的 范例 情况 。 要 注意 喔 ， 如 果 不 写 账号 的 
话 ， 那 么 会 以 本 


地 冰 计 算 机 的 账 豆 来 莹 试 登入 远程 。 也 束 是 说 ， 如 有 果 近 端 与 远程 具有 
相同 的 账号 ， 那 


么 不 写 账 号 也 没有 关系 ， 如 上 表 中 的 范例 。 但 是 ， 为 了 以 后 习惯 着 
想 ， 还 是 一 开始 殉 


使 用 类 似 email 的 方式 来 登入 远程 主机 ， 这 样 的 行为 习惯 比较 好 啦 ! 


上 面 出 现 的 讯 恩 中 ， 开 头 RSA 的 那 行 后 面 接 的 束 古 远程 服务 右 的 公 钥 
指纹 码 ， 如 


条 确定 该 指纹 码 没有 问题 ， 那 么 你 融 得 要 输入 yes 来 将 该 指纹 码 写 入 服 
务 絮 公 钥 记录 


文件 (~/.ssh/known_hosts)， 以 方便 未 来 比 对 该 服务 紫 的 正确 性 之 用 。 
注意 是 要 写 


yes 喔 ， 单 纯 输入 Y 立 或 y 是 不 会 被 接受 的 一 此 外 ， 由 于 该 主机 的 公 铀 
已 经 被 记录 ， 


因此 未 来 重复 使 用 ssh 登入 此 主机 时 ， 就 不 会 出 现 这 个 指纹 码 提 示 了 。 
# 2. 使 用 student 账号 登入 本 机 


[root@www ~]# ssh student@127.0.0.1 


student@127.0.0.1's password: 
[student@www ~]$ exit 


# 由 于 加 入 账号 ， 因 此 切换 号 份 成 为 student 了 ! 为 外 ， 因 为 127.0.0.1 


登入 过 ， 
# 所 以 就 不 会 再 出 现 提示 你 要 增加 主机 公 钥 的 讯息 吗 ， 
# 3. 登入 对 方 主机 执行 过 指令 后 立刻 离开 的 方式 : 


[root@www ~]# ssh student@127.0.0.1 find / &> ~/find1.log 


student@localhost's password: 


# 此 时 你 会 发 现 怎么 画面 卡 住 了 ? 这 是 因为 上 头 的 指令 会 造成 ， 
你 已 经 登入 远 
程 主机 ， 


人 
己 跑 ? 
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#4. 与 上 题 相 同 ， 但 是 让 对 方 主机 自己 跑 该 指令 ， 你 立刻 回 到 近 端 主机 
继续 


工作 : 
[root@www ~]# ssh -f student@127.0.0.1 find / &> ~/find1.log 


# 此 时 你 会 立刻 注销 127.0.0.1 ， 但 find 指令 会 自己 在 远程 服务 絮 跑 
喔 ! 


上 述 的 范例 当中 ， 第 4 个 范例 最 有 用 ! 如 采 你 想 要 让 远程 主机 进行 天 
机 的 指令 ， 如 于 


不 加 上 -的 参数 ， 那 你 会 等 待 对方 主机 关机 完毕 再 将 你 踊 出 联机 ， 这 
比较 不 合理 。 


因此 ， 加 上 -f 就 很 重要 ~~ 因 为 你 会 指定 远程 主机 自己 跑 关 机 ， 而 不 需 


要 在 空空 等 待 。 
例如 : Tssh -f root@some_IP shutdown -h now J」 之 类 的 指令 哎 。 


# 5. 删除 挤 known_hosts 后 ， 重 新 使 用 root 联机 到 本 机 ， 且 自动 加 上 公 
钥 记录 


[root@www ~]# rm ~/.ssh/known_hosts 


[root@www ~]# ssh -o StrictHostKeyChecking=no root(@localhost 


Warning: Permanently added 'localhost' (RSA) to the list of known hosts. 
root(@localhost's password: 

# 如 上 所 示 ， 不 会 问 你 yes 或 no 啦 ! 直接 会 写 入 ~/.ssh/known_hosts 当 
中 ! 

乌 哥 上 课 帝 稼 使 用 ssh 联机 到 同学 的 计算 机 去 看 他 有 没有 出 错 ， 有 时 候 


会 写 script 


来 进行 答案 侦 测 。 此 时 如 果 每 台 计 算 机 都 在 主动 加 上 公 钥 文件 记录 ， 
都 得 要 输入 


『 yes 」， 会 素 死 ! 那么 加 上 这 个 StrictHostKeyChecking=no 就 很 有 帮 
助 啦 ! 他 会 


不 询问 目 动 加 入 主机 的 公 钥 到 档案 中 ， 对 于 一 般 使 用 者 帮助 不 大 ， 对 
于 程序 脚本 来 说 ， 


这 玩意 儿 可 就 很 不 错 用 了 ! 
吕 
服务 器 公 钥 记录 文件 : ~/.ssh/known_hosts 


器 
当 你 登入 远程 服务 丛 时 ， 本 机 会 主动 的 用 接收 到 的 服务 硕 的 public key 
去 比 对 


~/.ssh/known_hosts 有 无 相关 的 公 钥 ， 然 后 进行 确 下 的 动作 : 
0 知 接收 的 公 钥 尚未 记录 ， 则 询问 用 户 是 否 记 录 。 若 要 记录 (范例 中 回 


答 yes 


的 那个 步骤 ) 则 写 入 ~/.ssh/known_hosts 且 继 续 登 入 的 后 续 工 作 ， 若 不 
记录 


(回答 no) 则 不 写 入 该 档案 ， 并 且 离 开 登 入 工作 ; 


0 大 接收 到 的 公 般 已 有 记录 ， 则 比 对 记录 是 否 相 同 ， 大 相同 则 继续 登入 
动作 ; 


大 不 相同 ， 则 出 现 警告 信息 ， 且 离开 登入 的 动作 。 这 十 客 户 端的 目 我 
保护 功能 ， 


避免 你 的 服务 夯 是 被 别人 仿 猴 的 。 


虽然 说 服务 如 的 ssh 通 间 可 能 会 改变 ， 问 题 是 ， 如 打 是 测试 用 的 主机 ， 
因此 第 篆 


在 重 狐 安装 ， 那 么 服务 锅 的 公 角 肯定 经 常 不 同 ， 采 真如 此 的 话 ， 你 就 
无 法 继续 登入 了 |! 


那 坚 办 ? 让 我 们 来 模拟 一 下 这 个 行为 吧 ! 让 你 比较 有 印象 啦 ! 
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例题 : 


仿 划 何 服 器 重新 安装 后 ， 假设 服务 占 使 用 相同 的 IP ， 造 成 相同 IP 的 服 
务 郁 

公 角 不同， 产生 的 问题 与 解决 之 道 为 何 ? 

sa 


Er: 


利用 前 一 人 小节 讲 过 的 方式 ， 删 除 原 有 的 系统 公 铀 ， 重 新 局 动 ssh 让 你 的 
公 角 更 


新: 


rm /etc/ssh/ssh_host* 
/etc/init.d/sshd restart 
然后 重新 使 用 底下 的 方式 来 进行 联机 的 动作 : 


[root@www ~]# ssh root@localhost 


QOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO 
QOOOOOOOOOOOOOOOOOOOOOOOOO 


QQ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ 
<== 玻 告 


诉 你 可 能 有 问题 


QOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO 
QOOOOOOOOOOOOOOOOOOOOOOOOO 


IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! 
Someone could be eavesdropping on you right now (man-in-the-middle 
attack)! 

It is also possible that the RSA host key has just been changed. 

The fingerprint for the RSA key sent by the remote host is 
a7:2e:58:51:9f:1b:02:64:56:ea:cb:9c:92:5e:79:f9. 

Please contact your system administrator. 

Add correct host key in /root/.ssh/known_hosts to get rid of this 

message. 

Offending key in /root/.ssh/known_hosts:1 <== 冒 号 后 面 接 的 数字 职 是 有 
问题 数据 行 号 

RSA host key for localhost has changed and you have requested strict 
checking. 


Host key verification failed. 


上 壕 的 表格 出 现 的 错误 讯 尽 中 ， 特 殊 字 体 的 地 方 在 告诉 
你 : /root/.ssh/known_hosts 


的 第 1 行 ， 里 面 的 公 钥 与 这 次 接收 到 的 结 采 不 同 ， 很 可 能 被 攻击 了 ! 
那 怎 办 ? 没 关 


系 啦 ! 请 你 使 用 vim 到 /root/.ssh/known_hosts ， 并 将 第 1 行 ( 冒 号 :后 
面 接 


的 数字 就 是 了 ) 删除 ， 之 后 再 重新 ssh 过 ， 那 系统 又 会 重新 问 你 要 不 要 
加 上 公 稻 哆 ! 


束 这 么 位 单 ! 和信 
0 
模拟 FTP 的 文件 传输 方式 : sftp 


ssh 十 登入 远程 服务 右 进 行 工作 ， 那 如 琳 你 只 是 想 要 从 远程 服务 硕 下 载 
或 上 传 档案 


呢 ? 那 束 不 是 使 用 ssh 啦 ， 而 必须 要 使 用 sftp 或 scp。 这 两 个 指令 也 都 
是 使 用 ssh 
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的 通道 port 22)， 只 是 模拟 成 FTP 与 复制 的 动作 而 已 。 我 们 先 谈 谈 sftp 
， 这 个 指 


令 的 用 法 与 ssh 很 相似 ， 只 是 ssh 是 用 在 登入 而 sftp 在 上 传 / 下 载 文件 而 
BE 
[root@www ~]# sftp student@localhost 


Connecting to localhost... 


student(@localhost's password: <== 这 里 请 输入 密码 啊 ! 


sftp> exit <== 这 里 殉 是 在 等 竺 你 输入 ftp 相关 指令 的 地 方 了 ! 


进入 到 sftp 之 后 ， 那 就 跟 在 一 般 FIP 模式 下 的 操作 方法 没有 两 样 了 ! 
奈 下 我 们 就 来 


谈 一 谈 ， sftp 这 个 接口 下 的 使 用 指令 吧 ! 
针对 远方 服务 器 主机 (Server) 之 行为 
变换 目录 到 /etc/test 或 其 

cd /etc/test 

他 目录 

cd PATH 

ls 

列 出 目前 所 在 目录 下 的 文件 名 dir 
建立 目录 

mkdir directory 

删除 目录 

rmdir directory 

显示 目前 所 在 的 目 永 

pwd 

更 改 档案 或 目录 群 组 

chgrp groupname PATH 

更 改 档案 或 目录 拥有 者 


chown username PATH 

chmod 644 PATH 

更 改 档 案 或 目录 的 权限 

其 中 ，644 与 权限 有 天 ! 回去 看 基础 篇 ! 
建立 连结 档 


In oldname newname 

删除 档案 或 目录 

rm PATH 

更 改 档案 或 目录 名 称 

rename oldname newname 

离开 远程 主机 

exit (or) bye (or) quit 

针对 本 机 (Clienb 之 行为 (都 加 上 1 的 小 写 ) 
变换 目录 到 本 机 的 PATH 当中 lcd PATH 
列 出 目前 本 机 所 在 目录 下 的 文 lls 

件 名 

在 本 机 建立 目录 

Imkdir 

显示 目前 所 在 的 本 机 目录 


lpwd 
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针对 资料 上 传 / 下 载 的 行为 
put [本 机 目录 或 档案 ] [远程 ] 
put [本 机 目录 或 档案 ] 


将 档案 由 本 机 上 传 到 远程 主机 如 果 是 这 种 格式 ， 则 档案 会 放置 到 目前 
远程 主 


机 的 目录 下 ! 

get [远程 主机 目录 或 档案 ] [本 机 ] 

get [远程 主机 目录 或 档案 ] 

奉 是 这 种 格式 ， 则 档案 会 放置 在 目前 本 机 所 在 
将 档案 由 远程 主机 下 载 回 来 

的 目录 当中 ! 可 以 使 用 通配符 ， 例 如 : 


get * 
get *.rpm 
处 是 可 以 的 格式 ! 


就 整体 而 言 ， sftp 在 Linux 底下 ， 如 果 不 考 虑 图 形 接口 ， 那 么 他 已 经 
可 以 取代 FTP 了 


呢 ! 因为 所 有 的 功能 都 已 经 涵盖 啦 ! 因此 ， 在 不 考虑 到 图 形 接口 的 
FTP 软件 时 ， 可 以 


直接 关 抒 FTP 的 服务 ， 而 改 以 sftp-server 来 提供 FTP 的 服务 吧 ! 人 人 


例题 : 


假设 localhost 为 远程 服务 右 ， 晶 服务 絮 上 有 student 这 个 使 用 者 。 你 想 
2 


(1) 将 本 机 的 /etc/hosts 上 传 到 student 家 目录 ， 并 (2) 将 student 的 .bashrc 
复制 到 本 机 的 /tmp 底下 ， 该 如 何 透 过 sftp 达成 ? 

答 : 

[root@www ~]# sftp student@localhost 


sftp> lls /etc/hosts <== 先 看 看 本 机 有 没有 这 个 档案 


/etc/hosts 

sftp> put /etc/hosts <== 有 的 话 ， 那 就 上 传 吧 ! 
Uploading /etc/hosts to /home/student/hosts 

/etc/hosts 100% 243 0.2KB/s 00:00 

sftp> ls <== 有 没有 上 传 成 功 ? 看 远程 目录 下 的 文件 名 


hosts 


sftp> ls -a <== 那 有 没有 隐藏 档 呢 ? 


... .bash_history .bash_logout 
.bash_profile .bashrc .mozilla hosts 

sftt> lcd /tmp <== 切 换 本 机 目录 到 /tmp 
sftp> lpwd <== 只 是 进行 确认 而 已 ! 
Local working directory: /tmp 


sftp> get .bashrc <== 没 问题 就 下 载 吧 ! 


Fetching /home/student/.bashrc to .bashrc 
/home/student/.bashrc 100% 124 0.1KB/s 00:00 
sftp> lls -a <== 看 本 地 端 档案 档 和 名 

. .font-unix keyring-rNd7qX .X11-unix 
net.giang@hotmail.com 

.. .gdm_socket lost+found scim-panel-socket:0-root 
.bashrc .ICE-unix mapping-root .X0-lock 

sftp> exit <== 离 开 吧 ! 


如 果 你 不 喜欢 使 用 文字 接口 进行 FTP 的 传输 ， 那 么 还 可 以 透 过 图 形 接 
口 来 连接 到 


sftp-server 哩 ! 你 可 以 利用 二 十 一 章 FTP 服务 器 提 到 的 Filezilla 来 进行 
联机 的 


啦 ! 如 此 一 来 ， 与 服务 器 之 间 的 文件 传输 葡 方 便 多 了 吧 ! 
吕 
档案 异地 直接 复制 : scp 


通 肖 使 用 sftp 是 因为 可 能 不 知道 服务 器 上 面 有 什么 档 名 的 档案 存在 ， 
如 膝 已 经 庆 


道 服务 丛 上 的 档案 档 名 了 ， 那么 最 简单 的 文件 传输 则 十 透 过 scp 这 个 
指令 喔 ! 最 简单 


的 scp 用 法 如 下 : 
[root@www ~]# scp [-pr] [-] 速率 ] file [账号 @] 主 机 :目录 名 <== 上 传 


[root@www ~]# scp [-pr] [-] 速率 ] [账号 @] 主 机 :file 目录 名 <== 下 载 


选项 与 参数 : 

-p : 保留 原本 档案 的 权限 数据 ; 

-T: 复制 来 源 为 目录 时 ， 可 以 复制 整个 目录 ( 含 子 目 邓 ) 

-| : 可 以 限制 传输 的 速度 ， 单 位 为 Kbits/s ， 例 如 [-1800] 代表 传输 速 限 


100Kbytes/s 

#1. 将 本 机 的 /etc/hosts* 全 部 复制 到 127.0.0.1 上 面 的 student 家 目 
杂 内 

[root@www ~]# scp /etc/hosts* student(@127.0.0.1:~ 
student@127.0.0.1's password: <== 输 入 student 密码 

hosts 100% 207 0.2KB/s 00:00 

hosts.allow 100% 161 0.2KB/s 00:00 

hosts.deny 100% 347 0.3KB/s 00:00 

# 文件 名 显示 进度 容量 (bytes) 传输 速度 剩余 时 间 

# 你 可 以 仔细 看 ， 出 现 的 讯息 有 五 个 字段 ， 意 义 如 上 所 示 。 

# 2. 将 127.0.0.1 这 部 远程 主机 的 /etc/bashrc 复制 到 本 机 的 /tmp 底下 


[root@www ~]# scp student(@127.0.0.1:/etc/bashrc /tmp 


其 实 上 传 或 下 载 的 重点 是 那个 冒号 (:) 哎 ! 连接 在 冒号 后 面 的 束 是 远 往 
主机 的 档案 。 


因此 ， 如 采 冒 号 在 前 ， 代 表 的 殉 是 从 远程 主机 下 载 下 来 ， 如 有 宁 冒 号 在 
后 ， 则 代表 本 机 数 


据 上 传 啦 ! 而 如 末 想 要 复制 目 隶 的话， 那么 可 以 加 上 -r 的 选项 ! 
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O 

例题 : 

假设 本 机 有 个 档案 档 名 为 /root/dd_10mb_file ， 这 个 档案 有 10 MB 这 
么 大 。 假 设 你 想 要 上 传 到 127.0.0.1 的 /mp 底下 去 ， 而 且 你 在 127.0.0.1 
上 面 有 root 这 个 账号 的 使 用 权 。 但 由 于 带宽 很 宝贵 ， 因 此 你 只 想 要 花 


费 
100Kbyes/s 的 传输 量 给 此 一 动作 ， 那 该 如 何 下 达 指 令 ? 


由 于 预 设 不 存在 这 个 档案 ， 因 此 我 们 得 先 使 用 dd 来 建立 一 个 大 档案 : 
dd if=/dev/zero of=/root/dd_10mb_file bs=1M count=10 

建立 妥当 之 后 ， 由 于 是 上 传 数 据 ， 观 察 -1 的 选项 中 ， 那 个 速率 用 的 是 
bit ， 转 成 容量 的 bytes 需要 乘 上 8 倍 ， 因 此 指令 就 要 这 样 下 达 : 

scp -| 800 /root/dd_10mb_file root@127.0.0.1:/tmp 

11.2.4 ssh 客户 端 联机 程序 - Windows 用 户 


与 Linux 不 同 的 是 ， 预 设 的 Windows 并 没有 ssh 的 客户 端 程序 ， 因 此 
所 有 的 程 


序 都 得 要 下 载 其 他 第 三 方 软件 才 行 。 常 见 的 软件 主要 有 pietty, psftp 及 


filezilla 
等 。 底 下 就 让 我 们 来 谈 谈 这 几 个 软件 吧 。 
D 


直接 联机 的 pietty 

在 Linux 底下 想 要 连接 SSH 服务 絮 ， 可 以 直接 利用 ssh 这 个 指令 ， 在 
Windows 操作 系统 底下 就 得 要 使 用 pietty 或 putty 这 两 个 玩意 儿 ， 这 两 
者 的 下 载 点 请 参考 

( 注 2): 


D pietty 官方 网 站 :_http://wwwi.csie.ntu.edu.tw/~piaip/pietty/ 

在 putty 的 官方 网 站 上 有 很 多 的 软件 可 以 使 用 的 ， 包 括 putty/pscp/psftp 
等 笃 。 

wj 


下 


他 们 分 别 对 应 了 ssh/scp/sftp 这 三 个 指令 天 是 了 。 而 乌 哥 爱 用 的 pietty 
则 是 台湾 的 


林 弘 德 先生 根据 putty 所 改版 而 成 的 。 由 于 pietty 除了 完整 的 兼容 于 
putty 之 外 ， 


还 提供 了 选单 与 较为 完整 的 文字 编码 ， 实 在 很 好 用 呢 ， 所 以 故 下 乌 哥 
就 以 pietty 来 作 


为 介绍 哆 。 在 你 下 载 pietty 完成 后 ， 双 击 该 档案 ， 束 会 出 现 如 下 的 画面 
喝 : 
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六 PieTTY 连 独 起 定 


192,168,1,100 


人 Telnet (BES) 他 = 


使 用 界面 
Jv 潍 单 列 (M) 『「 PuTTY 模 式 『「 English UI 


PieTTY 本 | 


PieTTY YD,3,27 (formerly pputty ) by 
Hung-Te Lin <piaip 曾 csie,Drg> 


取消 (C) | 


olx| 
违 乡 忆 ) 编辑 驰 ) 榨 视 咏 ”视窗 QD 选项 旬 ) 说 明 U) 
Og as rt 


1@192 168 A 米 玉 六 来， 
in: 2011 


来 
from localhost 


图 11.2-3、pietty 的 启动 屏幕 示意 图 
在 上 图 中 箭头 为 1 的 地 方 请 填写 相关 的 主机 名 或 者 是 IP ， 箭 头 2 当然 


务必 选择 


SSH 那 一 项 ， 至 于 箭头 3 的 地 方 ， 乌 哥 比 较 喜 欢 选单 出 现 的 样式 ， 
为 可 以 直接 修改 


一 些 pietty 的 环境 设 定 值 ， 所 以 乌 哥 是 选择 选单 啦 ! 奉 没 有 问题 ， 按 
下 『 了 联机 J 后 ， 


就 会 出 现 如 下 等 待 登入 与 输入 账 / 密 数 据 的 画面 : 
图 11.2-4、pietty 的 登入 与 使 用 画面 示意 图 


文 个 图 标 会 让 你 以 为 是 在 主机 前 面 工作 吧 ! 而 且 上 头 还 有 选单 可 以 随 
时 调整 类 似 字 


形 、 字 体 、 字 符 编 码 等 等 的 重要 环境 参数 。 尤其 是 字符 编码 的 问题 ， 
有 时 候 你 会 发 现 


开局 档案 时 ， 竟 然 画面 当中 会 有 乱码 而 不 是 正常 的 中 文 显 示 ， 那 就 是 
编码 的 问题 。 要 


解决 这 个 问题 时 ， 你 必须 要 牢记 下 面 的 三 个 跟 语系 编码 有 关 的 数据 要 
相同 才 行 : 


0 文本 文件 本 喘 在 存档 时 所 挑选 的 语系 ; 


a 程序 (如 bash 软件 ) 本 号 所 使 用 的 语系 (可 用 LANG 变量 调 
); 


0 pietty 所 使 用 的 语系 。 
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中 ro0i 直 十 守 证 [63xl | 
连 穆 所 ) 编辑 世 ) 检视 视窗 QD | 选项 iD) 说 明 (人 8) 


宇 元 编码 巴 ) 
多国 纱 言 显示 方式 


aiwan Big5 CP950 汉 宇 (或 简 ) 转 换 ( 硼 
JapanS-JIS CP932 甸 洲 语 邓 修正 必 ) 


Korean CPp949 引 
操作 界面 落 系 蕊 ) 
PRC GB2312 Cp936 系统 整合 () 


详细 误 定 由.… 


总 PieTTIY 或 定 斋 整 


Session 
Logging 

Terminal 
Keyboard lv Disable application keypad mode 

厂 Disable xterm-style mouse reporting 

厂 Disable remote-controlled terminal resizing 

矿 Disable switching to alternate terminal screen 

厂 Disable remote-controlled window title changing 

[¥ Disable remote window title guerying [SECURITY) 

厂 Disable destructive backspace on server sending “? 


Behaviour 
Translation 


Selection 和 
Colours 厂 Disable remote-controlled character set configuration 


Connection 厂 Disable Arabic text shaping 
Data 厂 Disable bidirectional text display 


Tunnels 了 | 


我 们 知道 Linux 本 身 的 编码 可 以 透 过 LANG 这 个 变量 来 调整 ， 那 该 如 
何 调整 


pietty 的 中 文 编码 呢 ? 你 可 以 透 过 图 11.2-4 选单 列 当 中 的 『 选 项 4 来 处 
理 ， 如 下 所 


NS: 
图 11.2-5、 调 整 pietty 的 语系 编码 方式 (与 中 文 较 相关 ) 


在 『 选 项 4 的 『 字 符 编 码 」 里 面 可 以 挑选 big5 (cp950) 或 者 是 unicode 
(utf8) 的 


中 文 编码 ， 让 它 符 合 你 的 Linux 与 档案 所 储存 的 数据 格式 ， 那 中 文字 
就 OK 的 啦 ! A AI 


如 采 想 要 作 更 细部 的 设 定时 ， 可 以 选择 图 11.2-5 上 头 最 底下 的 那个 
1 详细 设 定 4 项 目 ， 


束 会 出 现 如 下 岁 示 。 其 中 更 为 重要 的 是 【键盘 右 侧 的 效 字 键 想 要 生 
效 上 4 时， 可 以 按照 


下 图 的 指示 来 启动 数字 键 的 功能 : 
图 11.2-6、pietty 软件 环境 详细 设 定 ， 与 键盘 右 侧 数字 键 相 关 者 
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总 PieTTY 误 定 怖 束 x| 


Session Dptions controlling PieT TY"s window 
Logging Set the size of the window 
= Terminal 
Rows Columns 
Keyboard 
Bel [| 2 [53 


Features When window Is resized: 

{* Change the number of rows and columns 
© Change the size of the font 

全 Change font size only when maximised 


全 Forbid resizing completely 


Selection 
Colours 


Control the scrollback in the window 


白 . Connection Lines of scrollback [20000 
Data I[¥ Display scrollbar 
Proxy 厂 Display scrollbar in full screen mode 
Telnet 矿 Reset scrollback on keypress 
Rlogin fw Reset scrollback on display activity 
- i lv Push erased text into scrollback 
点 uth 
x11 
Tunnels | 


将 上 图 中 第 头 2 所 指 的 那个 项 目 勾 选 起 来 且 按 下 『ApplyJ4 之 后 ， 你 键 
盘 右 侧 的 数 


字 键 才能 够 正常 的 使 用 呢 ， 否 则 按 右 侧 数 字 键 会 是 乱码 啦 。 再来， 你 
可 以 调整 pietty 


滚动 条 的 记忆 行 数 ， 这 样 当 数据 太 多 时 ， 你 依旧 可 以 调整 滚动 条 来 得 
阅 之 前 的 数据 。 设 


定 的 方法 如 下 : 
图 11.2-7、 调 整 画 面 可 以 记忆 的 行 数 ， 可 让 用 户 回 去 看 较 多 之 前 的 画面 


调整 完 这 些 和 常用 的 数据 后 ， 再 来 这 是 最 重要 的 : 『 你 要 以 哪 一 个 版 本 
的 SSH 算法 


登入 ? 4 前 面 说 过 ， 我 们 预 设 是 以 version2 来 登入 的 ， 所 以 这 里 我 们 
可 以 调整 为 2 那 


个 项 目 ! 这 样 每 次 登入 都 会 以 version 2 的 模式 登入 主机 了 ! 
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总 PieTTY 误 定 因 整 x] 


Session Dptions controlling SSH connections 
和 toni he Data to send to the server 
Keyboard Remote command: 
Bell 
Features 2 
白 .Window Protocol options 
Appearance 厂 Don't allocate a pseudo-terminal 
Behaviour 厂 Don't start a shell or command at all 
Translation 厂 Enable compression 
Selection Preferred 55H protocol yersion: 
Colours Cion C1 个 2 { 2 only 
Dl Connection 有 
Data Encryption options——————— 
Prowy Encryption cipher selection policy: 
Telnet &ES [55H-2 on 由 
， Blowfish 
ee 3DES Up 
— 3 -- warn below here -- 
Kex DES 
点 uth 
x11 


“ Tunnels 下 


图 11.2-8、 设 定 登 入 服务 器 时 使 用 的 ssh 算法 版 本 


整个 pietty 的 使 用 与 相关 设 定 流 程 就 是 这 样 ! 如 此 一 来 ， 你 就 可 以 在 
Windows 上 


面 以 SSH 的 协议 ， 登 入 远程 的 Linux 主机 噜 ! 粉 方便 吧 ! 和 人! 如 果 
四 要 昌文 文旦 


的 话 ， 目 前 pietty 已 经 支持 中 文 啦 ! 你 可 以 输入 中 文 喔 ! 不 过 需要 修改 
一 下 字符 集 


选择 图 11.2-5 『 选 项 〗 内 的 『 字 型 」 束 会 出 现 如 下 图 示 : 
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图 11.2-9、 选 择 中 文 的 字形 与 编码 


将 (1) 字 型 设 定 为 细 明 体 、(2) 字 集 设 定 为 『Big54 ， 如 此 一 来 ， 你 的 
pietty 就 支 


持 中 文 的 输入 哆 | 


那么 上 面 我 们 作 的 这 些 设 定 值 都 记录 在 哪里 啊 ? 呵呵 ! 都 记录 在 
Windows 的 登录 


文件 当中 啊 ! 你 可 以 在 Windows 的 系统 当中 ， 在 『 开 始 4 --> 【执行 4 
后 ， 出 现 的 框框 


内 输入 『regedith ， 之 后 会 出 现 一 个 大 和 寡 口 。 请 在 左边 的 画面 当中 选 


择 


『 HKEY_CURRENT_USER --> Software --> SimonTatham --> PuTTY -- 
> Sessionsj ， 


束 可 以 看 到 你 的 设 定 值 哆 ! 和 人! 这 样 ， 也 就 可 以 储存 你 的 设 定 值 史 


0 

使 用 sftp-server 的 功能 : ”psftp 

putty 的 官方 网 站 上 也 提供 psftp 这 文 程序 。 这 一 文 程序 的 重点 则 在 
用 


sftp-server。 使 用 的 方式 可 以 直接 点 选 psftp 这 个 档案 ， 让 他 直接 启动 ， 
则 会 出 现下 


面 的 图 样 : 
psftp: no hostname specified; use "open host.name" to connect 
psftp> 


个 时 候 可 以 填 入 你 要 连接 上 去 的 主机 名 ， 例 如 我 的 区 域内 网 络 
ee、 


部 主机 : 

psftp: no hostname specified; use "open host.name" to connect 
net.giang@hotmail.com 

2 

psftp> open 192.168.100.254 


login as: root 


root@192.168.100.254's password: 
Remote working directory is /root 
psftp> <== 这 里 就 在 等 行 你 输入 FTP 的 指令 了 | 


呵呵 ! 这 样 束 登入 主机 啦 ! 很 简单 吧 ! 然后 其 他 的 使 用 方式 跟前 面 拓 
到 的 sftp 一 样 哩 ! 


加 油 的 使 用 吧 ! 
0 
图 形 化 接口 的 sftp 客户 端 软 件 : ”Filezilla 


SSH 所 提供 的 sftp 功能 只 能 利用 纯 文本 接口 的 psftp 来 联机 吗 ? 有 没有 
图 形 接 


口 的 软件 呢 ? 呵呵 ! 当然 有 ! 那 就 是 非常 有 用 的 Filezilla 史 ! Filezilla 


是 图 形 接 


口 的 一 个 FTP 客户 端 软件 ， 使 用 上 非常 的 方便 ， 至 于 详细 的 安 关 与 使 
用 流程 请 参考 第 


二 十 一 章 vsftpd 的 说 明 喔 ! 
11.2.5 sshd 服务 器 细部 设 定 


基本 上 ， 所 有 的 sshd 服务 絮 详 细 设 定 都 放 在 /etc/ssh/sshd_config 里 
面 ! 不 过 ， 


每 个 Linux distribution 的 预 设 议定 都 不 太 相 同 ， 所 以 我 们 有 必要 来 了 解 
= 


定 值 的 意义 为 何 才 好 ! 同时 请 注意 ， 在 预 设 的 档案 内 ， 只 要 是 预 设 有 
出 现 且 被 批注 的 


设 定 值 ( 设 定 值 前 面 加 榴 ， 即 为 了 默认 值 ! 上， 你 可 以 依据 它 来 修改 的 
哩 。 


[root@www ~]# vim /etc/ssh/sshd_config 


#1. 关于 SSH Server 的 整体 设 定 ， 包 含 使 用 的 port 啦 ， 以 及 使 用 的 密 
码 


演算 方式 
# Port 22 


# SSH 预 设 使 用 22 这 个 port， 也 可 以 使 用 多 个 port， 即 重复 使 用 port 
这 


个 设 定 项 目 ! 

# 例如 想 要 开放 sshd 在 22 与 443 ， 则 多 加 一 行内 容 为 : 上 Port 443 J 
# 然后 重新 启动 sshd 这 样 束 好 了 ! 不 过 ， 不 建议 修改 port number 啦 ! 
Protocol 2 


# 选择 的 SSH 协议 版 本 ， 可 以 是 1 也 可 以 是 2 ，CentOS 5.x 预 设 是 仅 
支援 


V2。 

# 如 果 想 要 支持 旧版 V1 ， 束 得 要 使 用 『 Protocol 2,1 4 才 行 。 
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# ListenAddress 0.0.0.0 

# 监听 的 主机 适配器 ! 举 个 例子 来 说 ， 如 采 你 有 两 个 卫 ， 分 别 坪 


192.168.1.100 及 


# 192.168.100.254， 假 设 你 只 想 要 计 192.168.1.100 可 以 监听 sshd ， 那 
就 


这 样 写 : 

# 『 ListenAddress 192.168.1.100 J4 默认 值 是 监听 所 有 接口 的 SSH 要 求 
# PidFile /var/run/sshd.pid 

# 可 以 放置 SSHD 这 个 PID 的 档案 ! 上 述 为 默认 值 

# LoginGraceTime 2m 

# 当 使 用 者 连 上 SSH server 之 后 ， 会 出 现 输入 密码 的 画面 ， 在 该 画面 
中 ， 

# 在 多 和 久 时 间 内 没有 成 功 连 上 SSH server 就 强迫 断 线 ! 若 无 单 位 则 默认 
时 间 

为 秒 ! 

# Compression delayed 


# 指定 何 时 开始 使 用 压缩 数据 模式 进行 传输 。 有 yes, no 与 登入 后 才 将 
数据 


压缩 (delayed) 

# 2. 说 明 主 机 的 Private Key 放置 的 档案 ， 预 设 使 用 下 面 的 档案 即 可 ! 
# HostKey /etc/ssh/ssh_host_key # SSH version 1 使 用 的 私 铀 

# HostKey /etc/ssh/ssh_host_rsa_key # SSH version 2 使 用 的 RSA 私 
铀 

# HostKey /etc/ssh/ssh_host_dsa_key # SSH version 2 使 用 的 DSA 私 


铀 


# 还 记得 我 们 在 主机 的 SSH 联机 流程 里 面谈 到 的 ， 这 里 就 是 Host Key 


wo 


# 3. 关于 登录 文件 的 讯 奶 数据 放置 与 daemon 的 名 称 ! 
SyslogFacility AUTHPRIV 


# 当 有 人 使 用 SSH 登入 系统 的 时 候 ，SSH 会 记录 信息 ， 这 个 信息 要 记 
录 在 什 


么 daemon name 


# 底下 ? 预 设 是 以 AUTH 来 设 定 的 ， 即 是 /var/log/secure 里 面 ! 什么 ? 


下 
/JU 


| 
# 回 到 Linux 基础 去 翻 一 下 。 其 他 可 用 的 daemon name 为 : 
DAEMON,USER,AUTH, 


# LOCAL0O,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCALS, 

# LogLevel INFO 

# 登录 记录 的 等 级 ! 咖 咖 ! 任何 讯 奶 ! 同样 的 ， 起 记 了 就 回去 参考 | 
#4. 安全 设 定 项 目 ! 极 重 要 | 


#4.1 登入 设 定 部 分 


# PermitRootLogin yes 
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# 是 否 人 允许 root 登入 ! 预 设 是 允许 的 ， 但 是 建议 设 定 成 no1 


# StrictModes yes 


# 是否 让 sshd 去 检查 用 户 家 目录 或 相关 档案 的 权限 数据 ， 
# 这 是 为 了 担心 使 用 首 将 某 些 重要 档案 的 权限 设 错 ， 可 能 会 导致 一 些 问 


题 所 


代 ， 
# 例如 使 用 者 的 ~.ssh/ 权限 设 错时 ， 某 些 特殊 情况 下 会 不 许 用 户 登 入 


# PubkeyAuthentication yes 


# AuthorizedKeysFile .ssh/authorized_keys 
# 是 人 否 人 允许 用 户 目 行 使 用 成 对 的 密 钥 系统 进行 登入 行为 ， 仅 针对 


Version 2° 

# 至 于 目 制 鸭 公 钥 数据 瓯 放置 于 用 户 家 目录 下 的 .ssh/authorized_keys 内 
PasswordAuthentication yes 

# 密码 验证 当然 是 需要 的 ! 所 以 这 里 写 yes 中 1! 

# PermitEmptyPasswords no 

# 若 上 面 那 一 项 如 果 设 定 为 yes 的 话 ， 这 一 项 就 最 好 设 定 为 no ， 

# 这 个 项 目 在 是 否 人 允许 以 空 的 密码 登入 ! 当然 不 许 ! 

# 4.2 认证 部 分 

# RhostsAuthentication no 

# 本 机 系统 不 使 用 .rhosts， 因 为 仅 使 用 .rhosts 太 不 安全 了 ， 所 以 这 里 一 
定 要 设 定 为 no 

# IgnoreRhosts yes 

# 是 否 取 消 使 用 ~/.ssh/.rhosts 来 做 为 认证 ! 当然 是 ! 


# RhostsRSA Authentication no# 
# 这 个 选项 是 专门 给 version 1 用 的 ， 使 用 rhosts 档案 在 
/etc/hosts.equiv 


# 配合 RSA 演算 方式 来 进行 认证 ! 不 要 使 用 啊 ! 


# HostbasedAuthentication no 
这 个 项 目 与 上 面 的 项 目 类 似 ， 不 过 是 给 version 2 使 用 的 ! 
# IgnoreUserKnownHosts no 


# 是 否 忽 上 略 家 目录 内 的 ~/.ssh/known_hosts 这 个 档案 所 记录 的 主机 内 
容 


# 当然 不 要 忽略 ， 所 以 这 里 就 是 no 啦 ! 
ChallengeResponseAuthentication no 


# 允许 任何 的 密码 认证 ! 所 以 ， 任 何 login.conf 规定 的 认证 方式 ， 均 可 


迄 周 | 


# 但 目前 我 们 比较 喜欢 使 用 PAM 模块 帮忙 管理 认证 ， 因 此 这 个 选项 可 
以 设 定 
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为 no 喔 ! 

UsePAM yes 

# 利用 PAM 管理 使 用 者 认证 有 很 多 好 处 ， 可 以 记录 与 管理 。 
# 所 以 这 里 我 们 建议 你 使 用 UsePAM 是 


ChallengeResponseAuthentication 


设 定 为 no 


#4.3 与 Kerberos 有 天 的 参数 设 定 ! 因为 我 们 没有 Kerberos 主机 ， 所 以 
底 


下 不 用 设 定 ! 

# KerberosAuthentication no 

# KerberosOrLocalPasswd yes 

# KerberosTicketCleanup yes 

# KerberosTgtPassing no 

#4.4 底下 是 有 关 在 X-Window 底下 使 用 的 相关 设 定 ! 
X11Forwarding yes 

# X11DisplayOffset 10 

# X11UseLocalhost yes 

# 比较 重要 的 是 X11Forwarding 项 目 ， 

他 可 以 让 窗口 的 数据 透 过 ssh 信道 来 

传送 喔 ! 

# 在 本 章 后 面 比较 进 阶 的 ssh 使 用 方法 中 会 谈 到 。 
#4.5 登入 后 的 项 目 : 

# PrintMotd yes 


# 登入 后 是 否 显示 出 一 些 信 息 呢 ? 例如 上 次 登入 的 有 时间、 地 后 等 等 ， 预 
设 是 


yes 


# 亦 即 是 打印 出 /etc/motd 这 个 档案 的 内 容 。 但 是 ， 如 果 为 了 安全 ， 可 
以 考 


虑 改 为 no ! 

# PrintLastLog yes 

# 显示 上 次 登入 的 信息 ! 可 以 啊 ! 预 设 也 是 yes ! 
# 工 CPKeepAlive yes 


# 当 达 成 联机 后 ， 服 务 套 会 一 直 传 送 TCP 封包 给 客户 站 藉以 判断 对 方 


式 否 一 
直 存 在 联机 。 


# 不 过 ， 如 果 联机 时 中 间 的 路 由 器 暂时 停止 服务 几 秒 钟 ， 也 会 让 联机 中 
断 喔 


# 在 这 个 情况 下 ， 任 何 一 端 死 掉 后 ，SSH 可 以 立刻 知道 ! 而 不 会 有 僵尸 
程序 的 


发 生 ! 
# 但 如 果 你 的 网 络 或 路 由 器 常常 不 稳定 ， 那 么 可 以 设 定 为 no 的 啦 ! 


UsePrivilegeSeparation yes 

# 是 否 权限 较 低 的 程序 来 提供 用 户 操作 。 我 们 知道 sshd 启动 在 port 22 
# 因此 启动 的 程序 是 属于 root 的 身份 。 那 么 当 student 登入 后 ， 这 个 设 
定 
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名 
值 


# 会 让 sshd 产生 一 个 属于 sutdent 的 sshd 程序 来 使 用 ， 对 系统 较 安 全 
MaxStartups 10 


# 同时 允许 几 个 尚未 登入 的 联机 画面 ? 当 我 们 连 上 SSH ,但 是 尚未 输 
入 密码 


时 ， 
， oY 候 就 是 我 们 所 谓 的 联机 画面 啦 ! 在 这 个 联机 画面 中 ， 为 了 保护 
人 


# 所 以 需要 设 定 最 大 值 ， 预 设 最 多 十 个 联机 画面 ， 而 已 经 建立 联机 的 不 
计算 在 


这 十 个 当中 

#4.6 关于 用 户 抵挡 的 设 定 项 目 : 

DenyUsers * 

# 设 定 受 抵挡 的 使 用 者 名 称 ， 如 果 是 全 部 的 使 用 者 ， 那 就 是 全 部 挡 吧 ! 
# 若是 部 分 使 用 者 ， 可 以 将 该 账号 填 入 ! 例如 下 列 ! 
DenyUsers test 

DenyGroups test 

# 与 DenyUsers 相同 ! 仅 抵挡 几 个 群 组 而 已 ! 

# 5. 关于 SFTP 服务 与 其 他 的 设 定 项 目 ! 

Subsystem sftp /usr/lib/ssh/sftp-server 

# UseDNS yes 


# 一 般 来 说 ， 为 了 要 判断 客户 端 来 源 是 正常 合法 的 ， 因 此 会 使 用 DNS 
去 反 碍 


客户 端的 主机 名 
不 过 如 果 是 在 内 网 互 连 ， 这 项 目 设 定 为 no 会 让 联机 达成 速度 比较 


基本 上 ，CentOS 预 设 的 sshd 服务 已 经 算是 挺 安 全 的 了 ， 不 过 还 不 够 ! 
建议 你 (1) 将 


root 的 登入 权限 取消 ;，(2) 将 ssh 版 本 设 定 为 2。 其 他 的 设 定 值 束 请 你 
依照 目 己 的 


喜好 来 设 定 了 。 通常 不 建议 进行 随便 修改 啦 ! 另外 ， 如 果 你 修改 过 上 
面 这 个 档案 


(/etc/ssh/sshd_config)， 那 么 就 必需 要 重新 启动 一 次 sshd 这 个 daemon 才 
行 ! 亦 即 


是 : 
D /etc/init.d/sshd restart 
11.2.6 制作 不 用 密码 可 立即 登入 的 ssh 用 户 


你 或 许 已 经 想到 了 ， 既 然 ssh 可 以 使 用 scp 来 进行 网 络 复制 的 话 ， 那 么 
我 能 不 能 

将 scp 的 指令 放置 于 crontab 服务 中 ， 让 我 们 的 系统 透 过 scp 直接 在 背 
景 底下 目 行 


定期 的 进行 网 络 复制 与 备份 呢 ? 抱歉 ， 答 案 是 :，『 预 设 状况 下 不 允许 
此 动作 4 的! 为 


甚么 呢 ? 因 为 预 设 状况 下 ， 你 必须 要 透 过 远程 登录 ， 与 scp 互动 的 输入 
密码 才 行 啊 ! 


但 crontab 又 不 会 让 你 有 终端 接口 输入 密码 ， 所 以 该 程序 就 会 一 直 卡 住 
而 无 法 在 
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2, 将 -和 -小 到 谎 沾 
的 公 往 档案 上 停 到 


间 服 器 上 


3, 时 公 往 碳 案 放置 认 1. 利息 vbirdtsai 的 身份 建立 
~dmtsail.ssh/authorized 多 给 档案 ， 该 档案 和 巴 设 放 至 
keys 档案 内 内 ~vbirdtsaii.sshy/ 目录 内 


crontab 内 执行 成 功 喔 ! 那 怎 办 ? 我 们 要 放弃 这 个 好 用 的 网 络 复制 工具 
吗 ? 当然 不 是 


啦 ! 我 们 可 以 透 过 密 钥 认证 系统 来 处 理 的 ! 


既然 SSH 可 以 使 用 密 钥 系统 来 比 对 数据 ， 并 且 提 供用 户 数 据 的 加 密 功 
能 ， 那 么 可 

不 可 能 利用 这 个 Key 就 提供 用 户 自己 进入 主机 ， 而 不 需要 输入 密码 
呢 ? 呵呵 ! 好 主意 ! 

我 们 可 以 将 Client 产生 的 Key 给 他 找 贝 到 Server 当中 ， 所 以 ， 以 后 
Client 登入 

Server 时， 由 于 两 者 在 SSH 要 联机 的 讯号 传递 中 ， 就 已 经 比 对 过 Key 
了 ， 因 此 ， 可 

以 立即 进入 数据 传输 接口 中 ， 而 不 需要 再 输入 密码 呢 ! 在 实 作 上 的 步 
又 可 以 是 : 

1. 客户 端 建立 两 把 钥匙 : 想 一 想 ， 在 密 钥 系统 中 ， 是 公 钥 比较 重要 还 
是 私 钥 比 

较 重 要 ? 当然 是 私 钥 比 较 重 要 ! 因此 私 钥 才 是 解密 的 关键 啊 ! 所 以 
嗓 ， 这 两 把 


钥 古 当然 得 在 发 起 联机 的 客户 端 建 置 才 对 。 利 用 的 指令 为 ssh-keygen 


这 个 命令 ; 


2. 客户 端 放置 好 私 钥 档 案 : 将 Private Key 放 在 Client 上 面 的 家 目录 ， 


亦 
即 $HOME/.ssh/ ， 并 且 得 要 注意 权限 喔 ! 


3. 将 公 钥 放置 服务 硕 端 的 正确 目 孙 与 文件 名 去 : 最 后 ， 将 那 把 Public 
Key 放 


在 任何 一 个 你 想 要 用 来 登入 的 服务 絮 病 的 某 User 的 家 目录 内 之 .ssh/ 里 
面 的 


认证 档案 即 可 完成 整个 程序 。 


说 是 好 像 很 困难 的 样子 ， 其 实 步骤 真 的 很 简单 ， 我 们 依 序 来 进行 作业 
好 了 ! 假设 前 


提 如 下 ， 该 进行 的 步 又 则 如 下 图 : 

D Server 部 分 为 www.centos.vbird 这 部 192.168.100.254 的 主机 ， 欲 使 用 
的 账号 为 dmtsai ; 

0 Client 部 分 为 clientlinux.centos.vbird 这 部 192.168.100.10 的 

vbirdtsai 这 个 账号 ， 该 账号 要 用 来 登入 192.168.100.254 这 部 主机 的 
dmtsai 账号 。 

图 11.2-10、 制 作 不 需要 密码 的 ssh 账号 基本 流程 

0 

1. 客户 端 建立 两 把 钥 是 
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建立 的 方法 很 简单 ， 在 clientlinux.centos.vbird 这 部 主机 上 面 以 vbirdtsai 


的 身份 来 建立 两 把 钥 十 即 可 。 不 过 ， 需 要 注意 的 是 ， 我 们 有 多 种 密码 
算法 ， 如 采 不 指 


定 特殊 的 算法 ， 则 默认 以 RSA 算法 来 处 理 ; 

[vbirdtsai@clientlinux ~]$ ssh-keygen [-t rsaldsa] <== 可 选 rsa 或 dsa 
[vbirdtsai@clientlinux ~]$ ssh-keygen <== 用 预 设 的 方法 建立 密 铀 
Generating public/private rsa key pair. 

Enter file in which to save the key (home/vbirdtsai/.ssh/id_rsa): <== 


按 enter 


Created directory /home/vbirdtsai/.ssh'. <== 此 目录 若 不 存在 则 会 主动 
建立 

Enter passphrase (empty for no passphrase): <== 按 Enter 不 给 密码 
Enter same passphrase again: <== 再 输入 一 次 Enter 吧 | 

Your identification has been saved in /home/vbirdtsai/.ssh/id_rsa. <== 
私 钥 档 

Your public key has been saved in /home/vbirdtsai/.ssh/id_rsa.pub. <== 
公 钥 档 

The key fingerprint is: 

0f:d3:e7:1a:1c:bd:5c:03:f1:19:f1:22:df:9b:cc:08 
vbirdtsai@clientlinux.centos.vbird 


[vbirdtsai@clientlinux ~]$ ls -ld ~/.ssh; ls -] ~/.ssh 


drwx------ . 2 vbirdtsai vbirdtsai 4096 2011-07-25 12:58 
/home/vbirdtsai/.ssh 

-TW------- . 1 vbirdtsai vbirdtsai 1675 2011-07-25 12:58 id_rsa 
<== 私 钥 档 

-TW-T--T--. 1 vbirdtsai vbirdtsai 416 2011-07-25 12:58 id_rsa.pub 
<== 公 铀 档 


请 注意 上 面 喔 ， 我 的 身份 是 vbirdtsai ， 所 以 当 我 执行 ssh-keygen 时 ， 
才 会 在 我 的 


家 目录 底下 的 .ssh/ 这 个 目录 里 面 产生 所 需要 的 两 把 Keys ， 分 别 是 私 钥 
(id_rsa) 


与 公 钥 (id_rsa.pub)。 ~/.ssh/ 目录 必须 要 是 700 的 权限 才 行 ! 另外 一 个 
要 特别 注 


意 的 就 是 那个 id_rsa 的 档案 权限 啦 ! 他 必须 要 是 -rw------- 且 属 于 
vbirdtsai 自 


己 才 行 ! 否则 在 未 来 密 钥 比 对 的 过 程 当中 ， 可 能 会 被 判定 为 危险 而 无 
法 成 功 的 以 公私 铀 


成 对 档案 的 机 制 来 达成 联机 喔 。 其 实 ， 建 立 私 钥 后 预 设 的 权限 与 文件 
名 放置 位 置 部 是 


正确 的 ， 你 只 要 检查 过 没 问题 即 可 。 
四 
2. 将 公 钥 档案 数据 上 传 到 服务 右上 : 
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因为 我 们 要 登入 www.centos.vbird 是 以 dmtsai 的 号 份 ， 因 此 我 们 惑 得 
要 将 上 个 


步骤 建立 的 公 钥 (id_rsa.pub) 上 传 到 服务 器 上 的 dmtsai 用 户 才 行 。 那 如 
何 上 传 呢 ? 


最 商 单 的 方法 当然 束 是 使 用 scp 嘛 ! 

[vbirdtsai@clientlinux ~]$ scp ~/.ssh/id_rsa.pub dmtsai@192.168.100.254:~ 
# 上 传 到 dmtsai 的 家 目录 廉 下 即 可 。 

0 

3. 将 公 钥 放置 服务 器 端的 正确 目 永 与 文件 名 : 


还 记得 sshd_config 里 面谈 到 的 AuthorizedKeysFile 这 个 设 定 值 吧 ? 该 
设 定 值 


肋 征 在 指定 公 届 数 据 应 该 仅 放 置 的 文件 名 喝 ! 所 以 ， 我 们 必须 要 到 服 


务 需 端的 dmtsai 


这 个 用 户 身份 下 ， 将 刚刚 上 传 的 id_rsa.pub 数据 附加 到 authorized_keys 


这 个 档案 

内 才 行 。 作 法 有 点 像 这 样 : 

#1. 建立 ~/.ssh 档案 ,注意 权限 需要 为 700 喔 ! 
[dmtsai@www ~]$ ls -ld .ssh 

ls: .ssh: 没有 此 一 档案 或 目录 


# OR 户 ， 因 此 这 个 目录 不 存在 。 不 存在 才 作 请 下 建立 
日 录 芯 


条 六 


[dmtsai@www ~]$ mkdir .ssh; chmod 700 .ssh 


[dmtsai@www ~]$ 1s -ld .ssh 

drwx------. 2 dmtsai dmtsai 4096 Jul 25 13:06 .ssh 

# 权限 设 定 中 ， 务 必 是 700 且 属 于 使 用 背 本 人 的 账号 与 群 组 才 行 ! 
#2. 将 公 钥 档案 内 的 数据 使 用 cat 转 存 到 authorized_keys 内 


[dmtsai@Owww ~]$ ls -| *pub 

-rTW-r--r--. 1 dmtsai dmtsai 416 Jul 25 13:05 id_rsa.pub <== 人 确实 有 存 
在 

[dmtsai@www ~]$ cat id_rsa.pub >> .ssh/authorized_keys 
[dmtsai@www ~]$ chmod 644 .ssh/authorized_keys 

[dmtsai@www ~]$ ls -1 .ssh 

-TW-T--T-. 1 dmtsai dmtsai 416 Jul 25 13:07 authorized_keys 

# 这 个 档案 的 权限 设 定 中 ， 融 得 要 是 644 才 可 以 ! 不 可 以 捅 混 了 ! 
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这 样 束 搞定 密 钥 系 统 虽 ! 以 后 你 从 dientlinux.centos.vbird 的 vbirdtsai 


登 


入 到 www.centos.vbird 的 dmtsai 用 户 时 ， 就 不 需要 任何 的 密码 嘿 ! 举 
例 来 说 ， 你 


可 以 这 样 测试 看 看 哆 : 
例题 : 


透 过 上 述 的 案例 练习 成 功 后 ， 请 在 clientlinux 的 vbirdtsai 身份 中 ， 将 系 


统 的 /etc/hosts* 档案 复制 给 www.centos.vbird 的 dmtsai 用 户 的 家 目录 。 
答 : 

[vbirdtsai@clientlinux ~]$ scp /etc/hosts* dmtsai(@192.168.100.254:~ 
hosts 100% 187 0.2KB/s 

00:00 

hosts.allow 100% 161 0.2KB/s 

00:00 

hosts.deny 100% 347 0.3KB/s 

00:00 

# 你 会 发 现 ， 原 本 会 出 现 的 那个 密码 提示 数据 不 会 出 现 了 喔 ! 


[vbirdtsai@clientlinux ~]$ ssh dmtsai(@192.168.100.254 "1s -]" 


-Tw-T--T--. 1 dmtsai dmtsai 196 2011-07-25 13:09 hosts 

-Tw-T--T--. 1 dmtsai dmtsai 370 2011-07-25 13:09 hosts.allow 
-IW-I--I--. 1 dmtsai dmtsai 460 2011-07-25 13:09 hosts.deny 
-ITW-r--r--. 1 dmtsai dmtsai 416 2011-07-25 13:05 id_rsa.pub 
# 确实 有 复制 到 对 方 去 了 ! 有 显示 出 正确 的 远程 数据 哩 ! 


很 简单 的 步骤 吧 ! 这 样 一 来 ， 使 用 ssh 相关 的 客户 端 指令 就 可 以 不 需 密 
码 的 手续 


了 ! 无 论 如 何 ， 在 建立 密 钥 系统 的 步 又 中 你 要 记 得 的 是 : 


DO Client 必须 制作 出 Public & Private 这 两 把 keys， 且 Private 需 放 到 


~/.ssh/ 内 
0 Server 必须 要 有 Public Key ， 且 放置 到 用 户 家 目录 下 的 


~/.ssh/authorized_keys， 同 时 目录 的 权限 (.sshy) 必须 是 700 而 档案 权限 
则 


必须 为 644 ， 同 时 档案 的 拥有 者 与 群 组 都 必须 与 该 账号 吻合 才 行 。 


未 来 ， 当 你 还 想 要 登入 其 他 的 主机 时 ， 只 要 将 你 的 public key ( 束 古 
id_rsa.pub 


这 个 档案 ) 给 他 copy 到 其 他 主机 上 面 去 ， 并 且 新 增 到 某 账 号 的 


~/.ssh/authorized_keys 这 个 档案 中 ! 哈哈 ! 成 功 ! 


11.2.7 简易 安全 设 定 
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老实 说 ， 大 家 都 被 TSSH 是 个 安全 的 服务 4 所 其 骗 了 ! 其 实 sshd 并 不 
怎么 安全 的 ! 


翻 开 openssh 的 过 去 历史 来 看 ， 确 实 有 很 多 人 是 利用 ssh 的 程序 漏洞 来 
取得 远程 主机 

root 的 权限 ， 进 一 步 黑 掉 对 方 的 主机 ! 所 以 这 玩意 儿 说 实话 ， 也 不 是 很 
安全 的 啦 ! 


sshd 之 所 谓 的 『 安 全 J 其 实 指 的 是 『 sshd 的 数据 是 加 密 过 的 ， 所 以 他 
的 数据 在 


Internet 上 面 传递 时 是 比较 安全 的 。 至 于 sshd 这 个 服务 本 号 就 不 是 那样 
安全 Ti 


以 说 : 『 非 必要 ， 不 要 将 sshd 对 Internet 开放 可 登入 的 权限 ， 尽 量 局 
限 在 几 个 小 艺 


围 内 的 耳 或 主机 名 即 可 ! 这 很 重要 的 喔 ! 


好 了 ， 那 么 关于 安全 的 设 定 方面 ， 有 没有 什么 值得 注意 的 呢 ? 当然 是 
有 啦 ! 我 们 可 


以 先 建议 几 个 项 目 吧 ! 分 别 可 以 由 底下 这 三 方面 来 进行 : 
0 服务 器 软件 本 身 的 设 定 强化 : /etc/ssh/sshd_config 


D TCP wrapper 的 使 用 : /etc/hosts.allow, /etc/hosts.deny 


D iptables 的 使 用 : iptables.rule, iptables.allow 
吕 
服务 器 软件 本 喘 的 设 定 强化 : /etc/ssh/sshd_config 


一 般 而 言 ， 这 个 档案 的 默认 项 目 束 已 经 很 完备 了 ! 所 以 ， 事 实 上 有 是 不 
太 需 要 更 动 他 


的 ! 但 是 ， 如 宁 你 有 些 使 用 着 方面 的 顾虑 ， 那 么 可 以 这 样 修 正 一 些 问 
题 呢 ! 


禁止 root 这 个 账号 使 用 sshd 的 服务 ; 
DD 禁止 nossh 这 个 群 组 的 用 户 使 用 sshd 的 服务 ; 
DD 禁止 testssh 这 个 用 户 使 用 sshd 的 服务 ; 


除了 上 述 的 账号 之 外 ， 其 他 的 用 户 则 可 以 正常 的 使 用 系统 。 现 在 乌 哥 
假设 你 的 系统 


里 面 已 经 有 sshnot1, sshnot2, sshnot3 加 入 nossh 群 组 ， 同时 系统 还 有 


testssh, 


student 等 账号 。 相 关 的 账号 处 理 请 目 行 参 考 基 础 篇 来 设 定 ， 底 下 仅 是 
列 出 观察 的 重点 : 


#1. 先 观 察 一 下 所 需要 的 账号 是 否 存 在 呢 ? 


[root@www ~]# for user in sshnot1 sshnot2 sshnot3 testssh student; do 
\ 

> id $user | cut -d '' -f1-3 ; done 

uid=507(sshnot1) gid=509(Sshnot1) groups=509(sshnot1),508(nossh) 
uid=508(sshnot2) gid=510(sshnot2) groups=510(sshnot2),508(nossh) 
uid=509(sshnot3) gid=511(sshnot3) groups=511(sshnot3),508(nossh) 
uid=511(testssh) gid=513(testssh) groups=513(testssh) 
uid=505(student) gid=506(student) groups=506(student) 


# 和 若 上 述 账 号 并 不 存在 你 的 系统 ， 请 上 自己 建 置 出 来 ! UID/GID 与 乌 哥 的 
不 同 也 


没关系 | 
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# 2. 修改 sshd_config 并 且 重 新 启动 sshd 吧 ! 

[root@www ~]# vim /etc/ssh/sshd_config 

PermitRootLogin no <== 约 在 第 39 行 ， 请 拿 掉 批注 且 修 改 成 这 样 
DenyGroups nossh <== 龙 下 这 两 行 可 以 加 在 档案 的 最 后 面 


DenyUsers testssh 

[root@www ~]# /etc/init.d/sshd restart 

# 3. 测试 与 观察 相关 的 账号 登入 情况 吧 ! 

[root@www ~]# ssh root@localhost <== 并 请 输入 正确 的 密码 


[root@www ~]# tail /var/log/secure 

Jul 25 13:14:05 www sshd[2039]: pam_unix(sshd:auth): authentication 
failure; 

logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=root 

# 你 会 发 现 出 现 这 个 错误 讯 电 ， 而 不 是 密码 输入 错误 而 已 。 


[root@www ~]# ssh sshnot1@localhost <== 并 请 输入 正确 的 密码 


[root@www ~]# tail /var/log/secure 

Jul 25 13:15:53 www sshd[2061]: User sshnot1 from localhost not allowed 
because 

a group is listed in DenyGroups 

[root@www ~]# ssh testssh@localhost <== 并 请 输入 正确 的 密码 
[root@www ~]# tail /var/log/secure 

Jul 25 13:17:16 www sshd[2074]: User testssh from localhost not allowed 


because listed in DenyUsers 


从 上 面 的 结 采 来 看 ， 你 束 会 发 现 天 ， 不 同 的 登入 账号 会 产生 不 一 样 的 
登录 档 结果 。 因 此 ， 


当 你 老 是 无 法 顺利 使 用 ssh 登入 某 一 部 主机 时 ， 记 得 到 该 服务 器 上 去 检 
查看 看 登录 档 ， 


说 不 定 束 会 顺利 的 让 你 解决 问题 哆 ! 在 我 们 的 测试 机 上 面 ， 请 还 是 放 
行 root 的 登入 喔 ! 


上 


/etc/hosts.allow 及 /etc/hosts.deny 


举例 来 说 ， 你 的 sshd 只 想 让 本 机 以 及 区 网 内 的 主机 来 产能 够 登入 的 
话 ， 那 就 这 样 


作 : 

[root@www ~]# vim /etc/hosts.allow 
sshd: 127.0.0.1 192.168.1.0/255.255.255.0 
192.168.100.0/255.255.255.0 
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[root@www ~]# vim /etc/hosts.deny 
sshd : ALL 

0 

iptables 封包 过 滤 防 火 墙 


多 几 层 保护 也 很 好 的 ! 所 以 也 可 以 使 用 iptables 喔 ! 参考 ， 第 九 革 、 
火 墙 与 NAT 


务 生 内 的 实际 脚本 程 尔 应 该 在 iptables.rule 内 将 port 22 的 放行 功 
人 书 wa 
能 取消 ， 


然后 再 到 iptables.allow 里 面 新 增 这 行 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 


iptables -A INPUT -i $EXTIF -s 192.168.1.0/24 -p tcp --dport 22 -j 
ACCEPT 


iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 22 -j 
ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


上 壕 的 方法 处 理 完毕 后 ， 如 采 你 还 是 一 部 测试 机 ， 那 么 记得 要 将 设 定 
值 还 原 回来 哎 ! 最 


后 ，『 鸟 可 呼吁 大 家 ， 不 要 开放 SSH 的 登入 权限 给 所 有 Internet 上 面 
的 主机 ~4 这 


很 重要 喔 一 因为 如 果 对 方 可 以 ssh 进入 你 的 主机 ， 那 么 ... 太 危险 了 ~ 
11.3 最 原始 图 形 接口 : Xdmcp 服务 的 启用 


考虑 一 个 情况 ， 如 采 你 的 Linux 主机 主要 是 用 来 作为 图 形 处 理 时 ， 而 
且 同 时 有 多 


人 需要 用 到 那个 功能 ， 那 么 一 部 Linux 是 否 一 次 仅 能 提供 一 个 人 处 理 
那个 软件 呢 ? 呀 


嘿 ! 那 可 不 一 定 喔 ! 因为 Linux 有 相当 优秀 的 XWindow System 啊 ! 
现在 了 驶 来 谈 谈 第 


一 个 图 形 接口 的 远程 联机 服务 属 吧 ! 
11.3.1 X Window 的 Server/Client 架构 与 各 组 件 
由 于 我 们 Linux 使 用 的 图 形 接口 是 所 谓 的 X-Window System 的 东西 ， 


这 玩意 儿 是 


能 够 跨 平 台 的 ， 目 前 在 Linux 上 汰 开发 的 图 形 接口 软件 ， 几 乎 部 是 使 
用 这 个 X 的 架构 


来 处 理 ， 所 以 哆 ， 你 束 不 能 够 不 知道 Xx Window 啦 ! 我 们 在 基础 篇 第 
三 版 的 二 十 四 章 


已 经 讲 过 XWindow 啦 ， 因此 这 里 只 会 作 个 简单 的 介绍 ， 以 方便 大 家 
来 了 解 为 何 我 们 


的 软件 是 这 么 安装 与 设 定 喔 ! 
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X Window System 在 运作 的 过 程 中 ， 义 因 控 制 的 数据 不 同 而 分 为 XX 
Server 与 又 


Client 两 种 程序 ， 虽 然 说 是 义 Server/Client ， 但 是 他 的 作用 却 与 网 络 主 
机 的 


Server/Client 架构 大 异 其 趣 喔 一 先 来 说 说 X Server/Client 这 两 种 程序 所 
负责 的 任 


To 


0 X Server: 这 组 程序 主要 负责 的 是 屏幕 画面 的 绘制 与 显示 。 X Server 
站 | 


X client 的 数据 ， 将 这 些 数据 绘制 呈现 为 图 面 在 屏幕 上 。 
Wy, 


我 们 移动 鼠标 、 点 击 数据 、 由 键盘 输入 数据 等 等 ， 也 会 透 过 X Server 
来 传达 到 


X Client 让， 而 由 X Client 来 加 以 运算 出 应 绘制 的 数据 ; 
0 X Client: 这 组 程序 主要 负责 的 是 数据 的 运算 。X Client 在 接受 到 X 


站 
9 运 


而 得 到 鼠标 应 该 要 如 何 移动 、 点 击 的 结果 应 该 要 出 现 什 么 样 的 数据 、 
键盘 输入 


的 结 末 应 该 要 如 何 呈 现 等 等 ， 然 后 将 这 些 结果 告知 X Server ， 让 他 目 
行 去 绘制 


到 屏幕 上 。 


乌 哥 芝 第 开 玩 突 的 说 ， Xserver 就 是 画布 ， 而 X client 就 是 手 
画笔 的 画家 。 你 得 要 先 有 画布 (管理 好 所 有 可 显示 的 硬件 后 ) 之 
想法 (计算 出 来 的 绘图 数据 ) 才能 够 绘制 到 画布 上 ! 


由 于 每 一 文 X client 都 是 独立 存在 的 程序 ， 因 此 在 图 形 显示 会 发 生 一 些 
迭 图 的 问题 


(想象 一 下 每 一 个 X client 都 是 一 个 很 目 我 的 画家 ， 每 个 画家 都 不 承认 
对 方 的 存在 ， 


都 目 顾 目 的 在 画布 上 面 作画 ， 最 后 的 结 采 会 是 如 何 ? )。 因 此 ， 后 来 殉 
有 一 组 特殊 的 XX 


client 在 进行 管理 所 有 的 其 他 X dient 程序 ， 这 个 总 管 的 只 吧 就 是 
Window Manager ! 


0 Window Manager (WM): 是 一 组 控制 所 有 X client 的 管理 程序 ， 并 同 


时 提 


供 例如 任务 栏 、 背景 桌面 、 虚 拟 桌 面 、 窗 口 大 小 、 窗 口 移 动 与 重 迭 显 
示 等 任务 。 


Window manager 主要 由 一 些 大 型 的 计划 案 所 开发 而 来 ， 和 常见 的 有 
GNOME, KDE,, 


XFCE 等 


既然 XxX Window System 是 Linux 上 面 的 一 组 程序 ， 那 么 它 如 何 启动 的 
呢 ? 早期 的 


用 户 在 登入 系统 后 ， 必 须要 上 自己 先 启动 X server 程序 ， 然 后 再 启动 个 
别 的 Window 


manager ， 若 有 其 他 需求 ， 再 启动 其 他 额外 的 X client 就 是 了 。 这 人 么 麻 
烦 ! 所 以 为 了 


人 简化 局 动 个 人 图 形 接 口 的 步 又 ， 后 来 还 有 所 谓 的 Display Manager (DM) 
这 玩意 喔 ! 


0 a Manager (DM): 提供 使 用 者 登入 的 画面 以 让 用 户 可 以 判 由 图 
形 接口 


登入 。 在 使 用 者 登入 后 ， 可 透 过 display manager 的 功能 去 呼叫 其 他 的 
Window 


ue ， 让 用 户 在 图 形 接 口 的 登入 过 程 变 得 更 简单 。 由 于 DM 也 是 
晶 马 Es 


等 竺 输入 账号 密码 的 图 形 数据 ， 因 此 DM 会 主动 去 唤醒 一 个 又 Server 
然后 在 上 


头 加 载 等 待 输入 的 画面 就 是 了 。 
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在 目前 新 释 出 的 Linux distributions 中 ， 通 常 启动 图 形 接 口 让 用 户 登 入 
的 方式 


中 ， 都 是 先 执行 Display Manager 程序 ， 该 程序 会 主动 加 载 一 个 X 
Server 程序 ， 然 


后 再 提供 一 个 等 待 输入 账号 密码 的 接口 程序 ， 之 后 再 根据 用 户 的 选择 
去 局 动 所 需要 的 


Window Manager 程序 ， 最 后 就 由 用 户 直 接 操作 WM 来 玩 图 形 接 口 哆 。 
例题 : 

在 CentOS 6.x 当中 ， 若 预 设 为 init 5 的 情况 下 ， 那 么 最 终局 动 图 形 接 
口 的 是 哪 一 只 程序 ? 


竹 -. 


= 


分 析 /etc/init/* 当中 的 档案 ， 会 发 现 有 个 档案 的 内 容 是 这 样 : 


[root@www ~]# cat /etc/init/prefdm.conf 

start on stopped rc RUNLEVEL=5 

stop on starting rc RUNLEVEL=[!5] 

console output 

respawn 

respawn limit 10 120 

exec /etc/X11/prefdm -nodaemon 

你 可 以 分 析 /etc/X11/prefdm 的 内 容 ， 整 能够 发 现 其 实 该 行 局 动 的 下 是 
一 个 X display manager 程序 了 喔 | 

例题 : 

登入 init 5 的 CentOS 6.x 之 前 ， 先 到 ttyl 去 查阅 一 下 X server 是 由 哪 


一 文 程序 所 唤醒 的 ? 


我 们 可 以 透 过 pstree 来 观察 程序 间 的 相关 性 喔 ! 同时 注意 ， 预 设 的 
CentOS 6.x 


的 XX server 程序 名 称 为 Xorg 的 哩 。 

[root@www ~]# pstree -p 

init(1)-+-NetworkManager(1086) 

…( 中 间 省 略 )..… 
|-gdm-binary(2642)---gdm-simple-slav(2661)-+-Xorg(2663) 
| 

|-gdm-session-wor(2746) 

.…( 后 面 省 略 ).… 


由 上 壕 的 数据 来 看 ，gdm-binary 可 以 唤醒 Xorg 喔 ! 同 理 ， 我 们 也 会 知 
道 提 供认 证 


的 图 形 画 面 应 该 是 由 gdm-session 所 提供 的 喔 ! 
D 
X Window System 用 在 网 络 上 的 方式 : XDMCP 


net.qiang@Ohotmail.com 


Window (X-win 32) 
(X server) 


Mac 
{X server) 


Linux Xdmep 
(X client) 


Linux Unix 
{X server) (X Server) 
当 Xserver X client 都 在 同一 部 主机 上 面 的 时 候 ， 你 可 以 很 轻松 的 启动 
= 


整 的 X Window System。 但 是 如 果 你 想 要 透 过 这 个 机 制 在 网 络 上 面 局 
动 X 呢 ?此 时 你 


得 先 在 客户 端 司 动 一 个 X server 将 图 形 接口 绘图 所 需要 的 硬件 装置 配 
置 好 ， 并 且 局 


动 一 个 Xserver 和 常见 的 接收 坦 口 (通常 是 port 6000)， 然 后 再 由 服务 器 
端的 又 


client 取得 绘图 数据 ， 再 将 数据 绘制 成 图 哆 。 透 过 这 个 机 制 ， 你 可 以 在 
任何 一 部 局 动 


X server 登入 服务 锅 喔 ! 而 且 不 管 你 的 操作 系统 是 喻 呢 ! 意义 束 像 下 
图 ， 如 此 一 来 ， 


你 束 可 以 取得 服务 右 所 提供 的 图 形 接 口 环境 啦 ! 


图 11.3-1、X server/dlient 的 架构 


但 是 如 果 你 是 使 用 最 笨 的 方法 在 客户 端 自己 启动 X server ， 然 后 在 告 
诉 服务 器 将 


X client 程序 一 个 一 个 的 加 载 回 来 ， 那 就 太 累 人 了 吧 ! 我 们 之 前 上 面 不 
是 提 到 过 可 以 

用 display manager 来 管理 使 用 者 的 登入 与 启动 X 吗 ? 那 服务 器 能 不 能 
提供 一 个 类 

似 的 服务 ， 那 我 们 直接 透 过 服务 硕 的 display manager 就 能 够 提供 我 们 
登入 的 认证 与 


加 载 目 己 选 择 的 window manager 的 话 ， 这 样 承 太 棒 了 ! 能 够 达到 吗 ? 
当然 可 以 啊 ! 


Xdmcp 启动 后 会 在 服务 器 的 udp 177 开始 监听 ， 然 后 当 客户 端的 义 
server 联机 


到 服务 屁 的 port 177 之 后 ， 我 们 的 Xdmcp 束 会 在 客户 端的 Xserver 放 
上 用 户 输入 


账 密 的 图 形 接口 程序 嘿 ! 那 你 就 能 透 过 这 个 Xdmcp 去 加 载 服 务 器 所 提 
供 的 类 似 Window 


Manager 的 相关 X client 路 ! 那 你 束 能 够 取得 图 形 接 口 的 远程 联机 服务 
器 哩 ! 饮 吧 | 


那么 什么 时 候 会 出 现 多 使 用 着 连 入 服务 问 取 得 X 的 情况 呢 ? 以 马 哥 的 
例子 来 说 ， 

马 哥 实验 宇 有 一 组 Linux 在 进行 数值 模拟 ， 他 输出 的 结果 征 NetCDF 
档案 ， 我 们 必须 


使 用 PAVE 这 一 全 软件 去 处 理 这 些 数 据 。 但 是 我 们 有 两 三 个 人 同时 都 
会 使 用 到 那个 功能 ， 


伺 俩 Linux 主机 苹 放 在 机 染 柜 里 面 的 ， 要 我 们 挤 在 那个 小 小 的 空间 前 
面 『 站 者 4 操作 


计算 机 ， 机 人 厌 啊 ~ 这 个 时 候 ， 我 们 束 会 架设 图 形 接口 的 远程 
登录 服务 硬 ， 
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我 们 可 以 『 多 人 同时 以 图 形 接口 登入 Linux 主机 J 来 操作 我 们 目 己 的 
程序 ! 很 棒 ， 不 


是 吗 ! 


11.3.2 设 定 gdm 的 XDMCP 服务 


既然 是 所 请 的 Xdmcp 协议 ， 那 么 是 否 意 味 着 与 X display manager 有 关 
呢 ? 没 错 


啦 ! Xdmcp 协议 是 由 DM 程序 所 提供 的 。 我们 的 CentOS 预 设 的 DM 
为 GNOME 这 个 


计划 所 提供 的 gdm 哩 ! 因此 ， 你 想 要 启动 Xdmcp 服务 ， 那 就 得 要 针对 
gdm 这 个 程序 


来 设 定 路 。 这 个 gdm 的 设 定数 据 都 放置 在 /etc/gdm/ 目录 下 ， 而 我 们 所 
要 修改 的 配 


置 文件 其 实 仅 是 一 个 /etwgdmycustom.conf ( 注 4) 档案 而 已 。 


Tips: 


X11 提供 的 display manager 为 xdm ， 而 著名 的 KDE 与 GNOME 
也 都 有 自己 的 display manager 管理 程序 ， 分 别 是 kdm 与 gdm 。 
你 可 以 透 过 三 者 中 任何 一 者 的 display manager 的 配置 文件 来 启 

动 xdmcp 这 个 协定 呢 ~ 


不 过 ， 因 为 我 们 安装 的 基准 是 『Basic server4 ， 所 以 很 多 图 形 接口 软 
件 并 没有 被 安装 


起 来 。 因 此 ， 在 实 作 Xdmcp 之 前 ， 我 们 得 移 安 装 图 形 接口 才 行 喔 ! 使 
用 yum 


groupinstall 来 安装 吧 ! 

# 先 检查 看 看 与 X 相关 的 软件 群 组 有 哪些 ? 
[root@www ~]# yum grouplist 

Desktop 

Desktop Platform 

X Window System 


# 这 三 个 算是 最 重要 的 项 目 了 ! 得 要 安装 起 来 才 行 喔 ! gdm 是 在 Destop 
中 | 


[root@www ~]# yum groupinstall "Desktop" "Desktop Platform" \ 
>"X Window System" 

上 面 进 行 完毕 后 ， 现 在 才能 开始 搞定 custom.conf 啦 ! 来 试 玩 看 看 ! 
[root@www ~]# vim /etc/gdm/custom.contf 


[security] <== 在 与 资 安 方面 有 关 的 信息 ， 大 多 指 登 录 相 关 事 宜 


AllowRemoteRoot=yes <==xdmcp 预 设 不 许 root 登入 ， 

得 用 这 个 项 目 才 能 以 

root 登入 

DisallowTCP=false <== 这 个 项 目 在 允许 客户 端 使 用 TCP 的 方式 联机 到 
xdmcp 
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[xdmcp] <== 束 古 这 个 小 廊 的 重点 之 一 史 ! 

Enable=true <== 启 动 xdmcp 的 最 重要 项 目 虽 | 


# 上 述 特殊 字体 的 部 份 束 是 你 得 要 目 己 新 增 的 内 容 史 1! 


[root@www ~]# init 5 


# 上述 这 个 指令 会 切换 到 X 图 形 画面 ， 如 果 确定 要 使 用 gdm，runlevel 
得 调 


整 到 5 才 好 


# 打 真 如 此 的 话 ， 那 融 得 要 调整 /etc/inittab 哆 ! 


[root@www ~]# netstat -tulnp 

Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 


4557/Xorg 


tcp 0 0 :::6000 ;:::* LISTEN 

4557/Xorg 

udp 0 0 0.0.0.0:177 0.0.0.0:* 

4536/gdm-binary 

# 上 述 的 port 6000 是 由 DisallowTCP=false 项 目 启动 的 ，port 177 才 是 
我 们 要 的 


上 壕 的 动作 乌 哥 是 在 runlevel 3 说 下 启动 的 ， 如 果 你 是 在 runlevel5 发 
下 时 ， 因 此 


你 也 可 以 利用 『 init 3 && init 5 4 来 重新 启动 图 形 接口 。 但 如 果 你 是 在 


runlevel 3 


底下 并 且 不 希望 变更 成 为 runlevel 5 呢 ? 那 又 该 如 何 启动 port 177 啊 ? 
如 果 是 这 样 


的 话 ， 那 么 你 可 以 这 样 启动 xdmcp 啦 : 
[root@www ~]# init 3 
[root@www ~]# runlevel 


5 3 <== 左 边 的 是 前 一 个 runlevel， 右 边 的 是 目前 的 ， 因 此 目前 是 
runlevel 3 


[root@www ~]# gdm <== 这 样 就 启动 xdmcp 哎 ! 
[root@www ~]# vim /etc/rc.d/rc.local 
/usr/sbin/gdm 


现在 你 知道 如 何在 不 同 的 runlevel 启动 xdmcp 了 吧 ? 如 果 是 runlevel 5 


/etc/inittab 就 已 经 有 目 动 启动 gdm 了 ， 所 以 你 只 要 顺利 局 动 runlevel 5 
BA] 。 


但 如 条 你 是 在 runlevel 3 的 话 ， 因 为 这 样 gdm 整 不 会 被 系统 的 局 动 流程 
局 动 ， 那 你 


只 好 目 己 在 /etc/rc.d/rc.local 里 面 指定 启动 他 史 ! 这 样 了 解 呼 ? 不 过 ， 
既然 你 都 要 


使 用 xdmcp 了 ， 所 以 建议 您 直接 启动 在 runlevel 5 即 可 ! 接 下 来 ， 你 得 
要 开放 客户 


端 对 你 的 port 177 联机 才 行 ! 请 自行 修改 你 的 防火 墙 规 则 ， 开 放 udp 
port 177 吧 | 


乌 哥 这 里 假设 你 使 用 乌 哥 的 防火 墙 脚本 ， 那 你 这 样 作 束 好 了 : 
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[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p UDP -i $EXTIF --dport 177 --sport 1024:65534 \ 
-S 192.168.100.0/24 -j ACCEPT #xdmcp 

# 注意 喔 ! 特点 是 使 用 UDP 塌 口 以 及 加 入 来 源 端 IP 网 域 的 控 管 ! 
[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save | grep 177 


-A INPUT -s 192.168.100.0/24 -i eth0 -p udp -m udp --Sport 1024:65534 -- 
dport 177 -j ACCEPT 


# 确实 有 开放 port 177 ， 而 且 是 udp 的 埠 口 喔 ! 要 注意 这 两 个 项 目 。 
11.3.3 用 户 系统 为 Linux 的 登入 方式 


由 于 Linux 本 身 的 窗口 就 是 由 X server 提供 来 的 ， 因 此 使 用 Linux 登入 
远程 的 


图形 服务 融 是 很 简单 的 啦 ! 但 是 因为 局 动 X 的 方式 不 同 而 已 数 种 局 动 
方式 ， 底 下 我 们 


束 讲 讲 两 个 第 见 的 局 动 方式 : 
0 
在 不 同 的 X 环境 下 局 动 联机 : 直接 用 X 


如 果 你 的 客户 端 已 经 在 runlevel 5 了 ， 因 此 其 实 你 已 经 有 一 个 X 窗口 的 
环境 ， 


这 个 环境 的 显示 终端 机 就 称 为 :04 。 在 CentOS 6.x 的 环境 中 ， 如 果 
原本 束 是 


runlevel 5 的 环境 ， 那 么 这 个 图 形 接口 的 :0 是 在 ttyl 终端 机 啦 ! 如 果 是 
由 


runlevel 3 局 动 图 形 接口 ， 那 束 古 在 tty7 喔 ! 由 于 已 经 有 一 个 X 了 ， 
此 你 必须 要 


在 男 外 的 终端 机 局 动 妨 一 个 X 才 行 ! 那个 新 的 X 整 称 为 :1 接口 ， 其 实 
通常 束 在 tty7 


或 tty8 啦 ! 但 因为 Xserver 要 接受 X client 必须 要 有 授权 才 行 ， 所 以 
你 得 先 在 


窗口 接口 开放 接受 来 自 服 务 器 的 X client 数据 。 
此 外 ， 虽 然 你 在 客户 闹 是 以 主动 的 方式 连接 到 服务 右 的 udp port 177 ， 


但 十 服务 


右 的 X client 却 会 主动 的 连接 到 你 客户 端的 Xserver， 因 此 ， 你 必须 要 
开放 来 目 服 


务 器 端 主动 对 你 的 TCP port 6001 (因为 是 :1 接口 ) 的 防火 墙 联机 才 行 
喔 ! 那 就 来 实 


做 看 看 : 
#1. 放行 XX dlient 传 来 的 资料 ， 在 XWindow 的 画面 当中 启用 shell 输 
入 : 


[root@clientlinux ~]# xhost + 192.168.100.254 
192.168.100.254 being added to access control list 

# 注意 ! 你 是 客户 端 ! 且 假 设 我 刚刚 那 部 Linux 主机 的 卫 为 
192.168.100.254 


# 2. 开始 放行 防火 墙 ， 因 为 我 们 局 动 port 6001 ， 所 以 你 在 客户 端 这 样 
作 : 


[root@Oclientlinux ~]# vim /usr/local/virus/iptables/iptables.allow 
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虹 色 
EZ 


www.centos.vbird 


~» sshnotl 


Log in as dmtsai 


» sshnot2 


ssshnot3 


信 student 


BOA mxzom @ 
iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 6001 -j 
ACCEPT 
[root@clientlinux ~]# /usr/local/virus/iptables/iptables.rule 
[root@clientlinux ~]# iptables-save 
-A INPUT -s 192.168.100.0/24 -p tcp -m tcp --dport 6001 -j ACCEPT 
# 要 能 看 到 上 面 这 一 行 才 行 吻 ! 
# 3. 在 文字 接口 (例如 ttyl) 下 输入 如 下 的 指令 : 


[root@clientlinux ~]#X -query 192.168.100.254 :1 


# 进 入 久 Window 嚼 | 


如 果 一 切 顺 利 的 话 ， 那 么 你 在 clientlinux.centos.vbird 就 会 看 到 如 下 的 
画面 (注意 


主机 名 ): 
图 11.3-2、 在 客户 问 连 上 Xdmcp 成 功 的 画面 


在 上 图 中 输入 正确 的 账号 与 密码 之 后 ， 你 在 tty8 (:1) 避 ® 会 有 个 窗口 接口 
哆 ! 那 


你 如 果 想 要 回 到 本 机 的 窗口 接口 ， 就 回 到 tty7 (:0) 即 可 切换 成 功 ! (在 


runlevel 5 


时 ，:0 在 tty1， 而 :1 在 tty7 喔 ! ) 那 想 要 关闭 tty8 该 如 何 是 好 ? 你 不 能 
够 在 
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tty8 注销 啦 ， 因 为 注销 后 ， 系 统 会 重新 开 一 个 等 待 登入 的 画面 ， 你 还 是 
没 办 法 关闭 的 。 


你 得 要 回 到 刚刚 启动 XX 的 ttyl 然后 按 下 [ctr]-c 中 断 联 机 即 可 ! 
0 
在 同一 个 X 底下 局 动 另 一 个 X:， 使 用 Xnest 


如 条 单单 在 tty7, tty8 切换 来 去 的 话 ， 侦 而 会 起 记 a 到 讨 在 哪个 界面 了 ， 


你 的 介面 者 一模一样 时 ， 那 吏 更 难 判 灯 了 。 有 没有 办 法 直接 在 tty7 局 


动 丽 二 修 窗 加 


来 加 载 远程 服务 器 的 图 形 接口 呢 ? 可 以 的 ， 那 就 透 过 Xnest 吧 ! 这 指 
令 需要 在 X 的 


环境 下 使 用 喔 ! 它 的 简单 用 法 如 下 : 

[root@www ~]# Xnest -query 主机 名 -geometry 分 辨 率 :1 

选项 与 参数 : 

-query : 后 面 接 xdmcp 服务 器 的 主机 名 或 IP 中 

-geometry : 后 面 接 画 面 的 分 辨 率 ， 例 如 1024x768 或 800x600 等 之 类 的 
刀 


# 根据 上 述 数 据 ， 使 用 800x600 连 上 192.168.100.254 那 部 主机 : 
[root@www ~]# yum install xorg-x11-server-Xnest 
[root@www ~]# Xnest -query 192.168.100.254 -geometry 640x480 :1 


如 果 一 切 顺利 的 话 ， 那 你 就 会 在 tty7 的 本 机 X 环境 下 看 到 如 下 的 画面 
( 拘 下 的 画面 


是 已 经 登入 的 情况 ! ) 
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间 me 位 置 系统 萎 全 区 带 配 咬 军 7 有 266C 

root@clientlinux:~ = 3 
二 

档案 (F) 编辑 (E) 检视 (V) 搜寻 (S) 终端 标 (T) 求助 (H) 

[root@clientlinux ~]# Xnest -query 192. 168. 100.254 -geometry 640x480 :1 


四 X Xnest 


se 


2 
ZS 


www.centos.vbird 


= sshnotl 


人 D 
图 11.3-3、 在 客户 端的 X 顺利 连 上 Xdmcp 的 画面 


二 开始 的 图 示 会 与 图 11.3-2 一 样 ， 融 是 出 现 输入 账 密 的 画面 ， 如 采 输 
入 正确 的 帐 


密 后 ， 束 会 出 现 上 述 的 图 示 了 。 仔 细 看 一 下 画面 当中 的 终端 机 标 尖 ， 
你 就 会 发 现 确 实 


征 两 部 主机 的 桌面 呢 ! 这 样 有 没有 更 棒 棒 ? 人 和 ^! 要 关闭 这 个 X 束 简 
单 多 了 ! 直接 按 


下 关闭 ， 或 者 是 中 断 那个 Xnest 的 程序 即 可 。 
11.3.4 用 户 系统 为 Windows 的 登入 方式 : Xming 


由 于 Windows 本 身 并 没有 提供 预 设 的 XX server ， 因 此 我 们 得 要 自行 安 
装 勾 


server 在 Windows 上 面 才 行 。 目前 第 见 的 Xserver 有 底下 这 几 个 : 
DX-Win32 (http:/wwwxwin32.tw/) 
L Exceed 


LD Xming (http://sourceforge.net/projects/xming/) 


其 中 X-Win32 与 Exceed 都 属于 商业 软件 ， 而 Xming 则 属于 轻 量 级 的 
目 由 软件 ， 


说 是 轻 量 级 并 非 说 它 不 好 ， 而 十 因为 Xming 的 档案 真 的 很 小 ， 而 该 有 
的 功能 部 有 了 ， 


所 以 算是 很 不 赖 的 一 个 软件 喔 ! 因此 压 下 鸟 哥 是 以 Xming( 注 5) 作 范 
例 来 介绍 的 。 


1. 安装 : 你 可 以 使 用 预 设 的 方法 ， 一 直下 一 步 的 安装 下 去 ， 就 能 够 顺 
利 的 安装 


好 Xming 这 套 Xserver 的 软件 咖 。 
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X Display settines 


Select display settings 
Choose how Kming displays programs. 


2. 启动 : 请 在 『 开 始 4 --> 【程序 集 4 --> TXmingJ」--> 『XLaunchJ 开 
启 设 定 


xdmcp 的 方式 。 压 下 我 们 会 使 用 区 网 内 的 广播 (broadcast) 来 找 
I 


xdmcp 服务 器 的 方式 。 启 动 XLaunch 之 后 会 出 现 如 下 的 图 示 : 
图 11.3-4、Xming 的 Xdmcp 连接 方式 示意 图 


记得 上 面 的 图 示 要 选择 One window 或 Fullscreen 或 One window 
without 


titlebar 才能 够 使 用 XDMCP 喔 ! 选择 完毕 后 按 『 下 一 步 」 就 会 出 现 如 
下 的 画 


面 : 
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Select how to start Kming 4 
Choose session type and whether a client 1s started fmmediately. 


© start no dient 
This will just start Xming,. You will be able to start local dients later., 


© Start a program 


or remote program which will connect to Xming, You will be able to 
nts later too, Remote programs are started using PuTTY/SSH， 


图 Open session via XDMCP 


This will start a remote XDMCP session, Starting local dients later is limited, This option 
is not available with the "Multiple windows” mode, 


图 11.3-5、Xming 的 Xdmcp 连接 方式 示意 图 


0 图 示 当 中 共有 三 种 传递 X client 的 方法 ， 在 这 个 小 节 当 中 我 们 要 
连 到 


xdmcp ， 所 以 你 得 要 选择 第 三 个 喔 ! 之 后 再 下 一 步 会 出 现下 图 : 
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Configure a remote XDMCP connection 


Enter or search for a host with a display manager configured to allow a remote OX 
session. 


® Connect to host 192.168.100.254| 
Use indirect connect 
加 search for hosts (broadcast) 
Some XDMCP servers must be configured to allow remote ctions, Please check the 


documentation about configuring XDMCP servers， 


图 11.3-6、Xming 的 Xdmcp 连接 方式 示意 图 


1 xdmcp 服务 器 虽 ! 将 他 的 IP 填 上 
吧 ! 
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Specify parameter settings 
Enter clipboard, remote font server, and all other parameters. 


贺 Clipboard [|No Access Control 

Start the integrated dipboard manager Disable Servyer bccess Control 
Remote font server (If any) 

Additional parameters for Xming 


Ldditional parameters for PUTTY or 55 


| NS 


Configuration complete 
Choose whether to save your settings to an KhIL file. 


Click Finish to start Xming. 


You may also 'Save configuration for re-use (run automatically or alter via -oad option), 


Indude PUTTY Password as insecure dear text 


[3 加 蕊 天 上 局] 蔬 画 亲 


图 11.3-7、Xming 的 Xdmcp 连接 方式 示意 图 


目 与 数据 的 互相 复制 贴 上 有 天， 保留 默认 值 即 可 。 按 下 下 一 
步 吧 ! 


图 11.3-8、Xming 的 Xdmcp 连接 方式 示意 图 
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0 
6 


出 现 上 图 就 是 设 定 完毕 了 ， 给 它 按 下 【完成 」 之 后 ， 你 就 会 发 现 如 同 
到 11.3-2 的 


画面 出 现 ， 你 就 能 够 开始 在 Windows 底下 连 上 图 形 接口 的 Linux Server 
史 ! 


很 轻松 吧 ! 
吕 
重点 在 Server 与 Client 的 防火 墙 上 


其 实 从 上 面 的 设 定 当 中 你 会 发 现 ，XDMCP 不 论 是 在 Server 还 是 Client 
的 设 定 


上 面 都 很 商 单 ! 但 是 有 时 候 你 束 古 会 发 现 ， 明 明 所 有 的 动作 都 做 完 
了 ， 但 是 就 古 没 有 


办 法 连 上 Xdmcp 服务 器 ! 最 容易 发 生 错 误 的 其 实 就 是 防火 墙 啦 ! 因为 
虽然 我 们 客户 端 

局 动 Xserver 后 ， 会 主动 联机 到 服务 絮 端 的 Xdmcp (port 177)， 但 是 ， 
接 下 来 却 是 


服务 器 主动 联机 到 我 们 客户 端的 Xserver (可 能 是 port 6000~6010) 。 
此 ， 如 果 你 


只 是 设 定 了 服务 右 的 防火 墙 而 已 ， 那 么 很 可 能 出 现 问 题 的 应 该 束 是 客 
尸 问 的 防火 墙 起 记 


打开 提供 服务 器 主动 联机 的 规则 嘿 ! 这 点 是 必须 要 跟 大 家 说 明 的 喔 ! 
11.4 华丽 的 图 形 接口 : VNC 服务 器 


就 如 同 刚刚 上 头 讲 到 的 ， 使 用 xdmcp 可 能 会 启动 多 个 不 同 的 塌 口 ， 导 
致 防火 墙 设 


定 上 面 比 较 困 扰 些 。 那 有 没有 从 单一 点 的 图 形 接口 连接 方式 ? 其 实 还 
有 很 多 啦 ， 在 这 


里 我 们 先 来 讲 一 个 比较 简单 的 ， 那 惑 是 VNC (Virtual Network 
Computing) 这 玩意 儿 


啦 ! ( 注 6) 
11.4.1 预 设 的 VNC 服务 器 : 使 用 twm window manager 


VNC server 会 在 服务 器 端 启 动 一 个 监听 用 户 要 求 的 端口 口 ， 一 般 端 口 
口号 人 码 在 


5901 ~ 5910 之 间 。 当 客户 端 启动 Xserver 联机 到 5901 之 后 ， VNC 
SerVver 再 将 一 


堆 预 先 设 定 好 的 X client 透 过 这 个 联机 传递 到 客户 关上， 最 终 融 能 够 在 
客户 端 显示 服 


务 占 的 图 形 接 口 了 。 


不 过 需要 注意 的 是 ， 预 设 的 VNC server 都 是 独立 提供 给 『 单 一 J 一 个 
客户 端 来 联 


机 的 ， 因 此 当 你 要 使 用 VNC 时 ， 再 联机 到 服务 右 去 局 动 VNC server 
有 所 以 一 


般 来 说 ，VNC server 都 是 使 用 手动 启动 的 ， 然 后 使 用 完毕 后 ， 再 将 
VNC server 天 


财 即 可 。 整 个 作法 其 实 很 和 单 喔 ! 你 可 以 这 样 作 : 
[root@www ~]# vncserver [: 号 人 码 ] [-geometry 分 辩 率 ] [options] 
net.giang@hotmail.com 

[root@www ~]# vncserver [-kill :号 位 ] 

选项 与 参数 : 

:号 码 : 吏 是 将 VNC server 开 在 哪个 埋 口 ， 如 打 是 :1 则 代表 VNC 5901 
坦 口 

-geometry : 就 是 分 辨 率 ， 例 如 1024x768 或 800x600 之 类 的 
options : 其 他 X 相关 的 选项 ， 例 如 -query localhost 之 类 的 
-kill : 将 已 经 局 动 的 VNC 埋 口 删除 ! 依据 吴 份 控制 喔 。 
[root@www ~]# yum install tigervnc-server 


# 这 个 是 必须 要 的 服务 器 软件 ， 注 意 软 件 的 名 称 喔 ! 与 之 前 的 版 本 不 
同 ! 


# 将 VNC server 启动 在 5903 埋 口 


[root@Owww ~]# vncserver :3 

You will require a password to access your desktops. 

Password: <== 输 入 VNC 的 联机 密码 ， 这 是 建立 VNC 时 所 需要 的 
Verify: <== 再 输入 一 次 相同 的 密码 


xauth: creating new authority file /root/.Xauthority 


New 'www.centos.vbird:3 (root)' desktop is www.centos.vbird:3 
Creating default startup Script /root/.vnc/xstartup 
Starting applications specified in /root/.vnc/xstartup 
Log file is /root/.vnc/www.centos.vbird:3.log 
[root@www ~]# netstat -tulnp | grep X 

tcp 0 0 0.0.0.0:5903 0.0.0.0:* LISTEN 

4361/Xvnc 

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 

1755/Xorg 

tcp 0 0 0.0.0.0:6003 0.0.0.0:* LISTEN 

4361/Xvnc 

tcp 0 0 :::6000 ;:::* LISTEN 

1755/Xorg 

tcp 0 0 :::6003 :::* LISTEN 

4361/Xvnc 

# 已 经 启动 所 需要 的 塌 口 跑 ! 

在 上 述 的 指令 操作 中 ， 你 要 知道 的 儿 个 项 目 是 : 


1. 密码 至 少 需要 六 个 字符 
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2. 依据 使 用 vncserver 的 身份 ， 将 刚刚 建立 的 密码 放置 于 该 账号 家 目录 
TR 


例如 上 述 的 身份 是 使 用 root 吴 份 ， 因 此 密码 文件 会 放 在 


/root/.vnc/passwd 

这 个 档案 中 但 是 若 该 档案 已 经 存在 ， 则 不 会 出 现 建立 密码 的 画面 。 

3. 当 客户 端 联机 成 功 后 ， 服 务 右 将 会 传送 /root/.vnc/startx 内 的 X client 
给 客户 端 喔 ! 

那 如 果 你 想 要 修改 VNC 密码 呢 ? 很 简单 ， 那 珑 使 用 vncpasswd 吧 ! 


[root@www ~]# 1s -| /root/.vnc/passwd 

-TW------- . 1 root root 8 Jul 26 15:08 /root/.vnc/passwd 
[root@www ~]# vncpasswd 

Password: <== 就 是 这 里 开始 输入 新 的 密码 啊 ! 
Verify: 

[root@www ~]# 1s -| /root/.vnc/passwd 

-TW------- . 1 root root 8 Jul 26 15:15 /root/.vnc/passwd 
# 看 吧 ! 时 间 有 更 新 咀 ! 这 个 档案 的 内 容 更 动 过 哎 ! 


接 下 来 开始 放行 5903 这 个 塌 口 的 联机 防火 墙 规则 吧 ! 因为 预计 可 能 会 
开放 11 个 VNC 


的 塌 口 ， 所 以 干脆 一 口气 开放 11 个 坦 口 吧 ! 
[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 


iptables -A INPUT -i $EXTIF -s 192.168.100.0/24 -p tcp --dport 5900:5910 


-j ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save 

-A INPUT -s 192.168.100.0/24 -i eth0 -p tcp -m tcp --dport 5900:5910 
-j ACCEPT 

# 要 看 得 到 上 面 这 行 才 OK 喔 ! 

11.4.2 VNC 的 客户 端 联机 软件 


> 
是 在 


Windows 系统 上 面 则 必须 要 额外 安装 其 他 软件 。 我 们 先 来 谈 谈 Linux 
的 VNC 用 户 软 


件 吧 ! 
0D 


Linux 客户 端 程序 : vncviewer 
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[root@clientlinux ~]# vncviewer 192.168.100.254:3 


TigerVNC Viewer 画 VNC authentication [VncAuth] ~ 口 x 00:09:01 


Copyright (C) 26 


Copyright (C) 26 Username: | 


Copyright (C) 26 


see http://www.1 Poseborde [ee 


Tue Jul 26 15:18 
CConn: connected to host 192.168.1996.254 port 5903 


用 在 Linux 客户 端的 VNC 程序 ， 那 就 是 ncviewer。 只 是 ， 这 个 软件 
默认 没有 安 


装 ， 所 以 你 得 要 使 用 yum 安装 完毕 后 再 来 联机 吧 ! 不 过 一 样 要 注意 ， 
服务 做 端的 防火 


载 一 样 要 设 定 妥当 喔 ! 然后 开始 在 客户 端的 岁 形 接口 上 执行 确 下 数 
据 : 


[root@calientlinux ~]# yum install tigervnc 
[root@clientlinux ~]# vncviewer 192.168.10.254:3 


# 这 个 指令 请 一 定 一 定 要 在 图 形 接口 上 面 执 行 才 行 喔 ! 很 重要 ! 别 起 
可 :| 


图 11.4-1、 在 Linux 客户 端 执 行 vncviewer 程序 示意 


在 上 图 当中 输入 刚刚 的 root 的 VNC 联机 密码 ， 请 注意 喔 ， 是 VNC 的 
联机 密码 ， 


而 不 是 root 的 登入 密码 ! 这 两 者 是 差 很 多 的 ! 也 由 于 启动 VNC 的 身 
份 是 root ， 


此 这 里 才 使 用 root 的 VNC 联机 密码 。 所以， 很 多 时 刻 ， 我 们 都 是 奸 
议 使 用 一 般 身 份 


来 局 动 VNC server 的 啦 ! 当 你 输入 正确 的 VNC 联机 密码 后 ， 会 出 现 
如 下 的 图 示 史 : 
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证 庙 用 在 式 位 时 系统 者 全 区 章 天 几 旦 


se 
档案 (EF) 编辑 (E) 检视 (V) 搜寻 (S) 北端 楼 (T) 求助 (H) 


Installing : tigervnc-1.0.90-0.10.20100115svn3945.el6.x86 64 
TigervNC: www.centos.vbird:3 (root) 


外 Applications Places System 克 多 
Preferred Web Browser 
区- 厅 Browse the Web 
一 =- 
Li 人 
Computer 
AR 


root's Home 


人 


图 11.4-2、 在 Linux 客户 端 执 行 vncviewer 程序 示意 


与 以 前 的 VNC server 较 大 的 差异 ， 在 CentOS 6.x 当中 ，tigervnc-server 
这 套 


软件 会 主动 的 依据 服务 占 并 的 图 形 接 口 登入 方式 给 予 正确 的 图 形 显 示 
接口 ， 而 不 是 以 前 


那样 给 予 一 个 丑 丑 的 twm 而 已 ! 这 样 我 们 束 可 以 城 少 还 得 要 修改 一 些 
有 的 没有 的 配置 


文件 了 ! 真是 棱 ! 联机 成 功 后 ， 请 在 客户 端 天 闭 这 个 vncviewer 的 联 
机 ， 因 为 接 下 来 


我 们 要 准备 由 Windows 联机 到 服务 妖 的 port 5903 哆 | 
0D 
Windows 客户 端 程序 : realvnc 


Windows 底下 可 用 的 vnc client 软件 不 少 ， 但 是 乌 哥 比较 熟悉 的 是 


realvnc 这 


家 公司 出 品 的 GNU 的 目 由 软件 ! 你 可 以 在 确 下 的 连结 下 载 到 最 稍 单 
的 版 本 ， 走 不 用 钱 


的 目 由 软件 版 本 喔 ! ( 乌 哥 仅 下 载 不 用 安 雄 的 viewer 版 本 而 已 ! ) 


D http:/www.realvnc.com/download.html 


直接 执行 vnc-viewer 软件 ， 然 后 就 会 看 到 如 下 的 画面 : 
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Va 


VNC® are Edition for Windows REAL 
w,realvnc,com for more information on 


VNC Server: 192.168.100,254:3| 


Encryption: |Let VNC Server [LetyNC Server choose | 
[Ce [ea CE 


”> Unencrypted connection [ teln me he more ] 


N VNC Server: 192,.168.100.254:3 
V Username: 


Password: |®eeeeee 


Lo | (cnce | 


~ pe 过 > Applications Places System 生生 E33 
人 
fn A 


Computer 


~ 


root's Home 


图 11.4-3、Windows Real VNC 客户 端 联机 示意 图 


如 上 图 所 示 ， 你 在 server 字段 填 上 IP:port 的 数据 即 可 ， 然 后 按 下 
TOKJ 吧 ! 


图 11.4-4、Windows Real VNC 客户 端 联机 示意 图 


由 于 VNC server 需要 的 仅 是 联机 的 VNC 密码 而 已 ， 因 此 上 图 中 的 


Username 可 


以 不 用 填 ， 老 实说 ， 这 个 程序 它 也 不 会 让 你 填 一 呵呵 ! 填 完 按 下 
TOKJ 即 可 ! 接 下 来 


束 会 出 现 正确 的 画面 哎 ! 


图 11.4-5、Windows Real VNC 客户 端 联机 示意 图 
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11.4.3 VNC 搭配 本 机 的 Xdmcp 画面 


如 膝 因 为 某 些 特殊 因素 ， 你 得 要 使 用 VNC 来 搭配 xdmcp 的 输出 时 ， 那 
束 直 接 在 服 


务 器 透 过 底下 的 指令 来 处 理 即 可 ! 要 注意 喔 ， 你 必须 要 已 经 启动 了 
xdmcp 了 喔 ! 而 且 ， 


我 们 底下 使 用 student 的 喘 份 来 启动 这 个 VNC 吧 ! 
#1. 要 确定 xdmcp 已 经 启动 了 才 可 以 : 
[root@www ~]# netstat -tlunp | grep 177 

udp 0 0 0.0.0.0:177 0.0.0.0:* 1734/gdm-binary 


# OK 的 ! 确实 有 局 动 的 啦 ! 如 采 没 有 看 到 177 的 话 ， 回 到 11.3 去 处 理 
处 理 


# 2. 切换 成 student， 并 且 局 动 VNC server 在 :5 

[root@www ~]# su - student 

[student@www ~]$ vncserver :5 -query localhost 

You will require a password to access your desktops. 

Password: 

Verify: 

xauth: creating new authority file /home/student/.Xauthority 

New 'www.centos.vbird:5 (student)' desktop is www.centos.vbird:5 
Creating default startup Script /home/student/.vnc/xstartup 

Starting applications specified in /home/student/.vnc/xstartup 


Log file is /home/student/.vnc/www.centos.vbird:5.log 


# 3. 取消 xstartup 的 启动 内 容 

[student@www ~]$ vim /home/student/.vnc/xstartup 

…( 前 面 省 略 )..… 

#xterm -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" & 
#twm & 

# 将 这 个 档案 的 内 容 ， 全 部 都 加 上 # 批注 掉 

# 4. 重新 启动 ncserver 喔 

[student@www ~]$ vncserver -kill :5 


[student@www ~]$ vncserver :5 -query localhost 


接 下 来 请 使 用 root 的 身份 加 入 5905 的 端口 口 防 火 墙 规则 ， 然 后 自行 使 
用 Linux 的 


vncviewer 或 Windows 的 RealVNC 来 联机 ， 你 就 会 发 现 如 下 的 画面 : 


net.giang@hotmail.com 


Va www.centos.vbird:5 (student) 
过 Applications Places System 大 去 


root@www:~ 


File Edit View Search Terminal Help 


[root @ww 瑟 # 国 


图 11.4-6、 透 过 VNC 通道 取得 xdmcp 画面 


我 们 这 只 VNC 的 联机 程序 是 student 身份 ， 但 是 我 们 却 可 以 透 过 
xdmcp 的 登入 


功能 来 登入 root 身份 喔 ! 因为 在 服务 器 上 面 的 Xvnc 程序 是 student 拥 
有 ， 这 样 会 


比较 好 啦 ! 了 解 呼 ? 
11.4.4 开机 就 启动 VNC server 的 方法 


请 注意 ， 你 不 要 将 ncserver 的 指令 写 入 在 /etc/rc.d/rc.local 中 ， 否 则 可 
能 


会 产生 localhost 无 法 登入 的 问题 。 那 该 如 何 让 你 的 VNC server 在 一 开 
机 就 局 动 而 


不 须要 登入 执行 指令 呢 ? 可 以 的 ， 但 是 你 得 要 修改 一 下 配置 文件 。 我 
们 旗下 使 用 


student 的 号 份 局 动 VNC server， 而 启动 的 方式 为 使 用 xdmcp 登入 画 
面 ， 局 动 的 埋 口 


束 定 在 5901 好 了 。 那 你 应 该 这 样 作 : 

[root@www ~]# vim /etc/sysconfig/vncservers 
VNCSERVERS="1:student" 
VNCSERVERARGS[1]="-query localhost" 

# 上 述 两 行 的 1 指 的 就 是 那个 塌 口 5901 喔 ! 要 注意 ! 
[root@www ~]# /etc/init.d/vncserver restart 


[root@www ~]# chkconfig vncserver on 


有 够 好 催 单 吧 ! 这 样 每 次 开机 束 搞 定 你 的 VNC server 吵 ! 


11.4.5 同步 的 VNC : 可 以 透 过 图 示 同 步 教 学 
net.giang@hotmail.com 


另外， 有 些 朋友 一 定 会 觉得 奇怪 ， 那 束 是 ， 为 其 么 我 的 VNC 服务 颖 的 
server/ 


client 端 画 面 并 不 是 同步 的 呢 ? 这 是 因为 Linux 本 身 提 供 多 个 VNC 
server ， 她 们 是 


各 目 独 立 的 ， 所 以 当然 就 不 会 与 tty7 的 画面 同步 了 。 但 是 如 果 你 想 要 
与 Linux 的 


tty7 同步 的 话 ， 可 以 利用 VNC 释 出 的 给 X Server 使 用 的 模块 来 加 以 设 
定 即 可 。 


那 使 用 这 个 模块 有 甚么 好 人 处 啊 ? 束 是 可 以 让 两 个 图 形 接口 在 


server/client 都 是 


一 样 的 ， 所 以 ， 如 果 你 想 要 教 你 的 朋友 你 古 如 何 设 定 的 ， 那 束 可 以 透 
过 这 个 机 制 来 处 


理 ， 你 的 朋友 在 远程 瑟 能 够 知道 你 一 步 一 步 进行 的 过 程 ! 这 样 很 不 赖 
吧 ! 详细 的 作法 


可 以 参考 发 下 的 连结 : 


我 们 也 来 实 做 一 下 吧 (在 CentOS 6.x 当中 并 没有 xorg.conf 这 个 配置 文 
件 喔 ! 


所 以 ， 如 果 你 要 使 用 这 些 数 据 的 话 ， 伙 怕 得 要 目 行 使 用 X -configure 
去 建 置 


xorg.conf 后 ， 再 挪 到 /etc/X11/ 去 ， 然 后 才 改 的 到 设 定 ! ): 


[root@www ~]# yum install tigervnc-server-module 


[root@www ~]# vim /etc/X11/xorg.conf 

Section "Screen" 

Identifier "ScreenO" 

Device "Videocard0O" 

DefaultDepth 24 

# VBird 

Option "passwordFile" "/home/student/.vnc/passwd" 

SubSection "Display" 

Viewport 0 0 

Depth 24 

EndSubSection 

EndSection 

# VBird 

Section "Module" 

Load "vnc" 

EndSection 

# 假设 你 的 vnc 密码 档案 放置 在 /home/student/.vnc/passwd 里 头 ， 
# 这 个 时 候 就 得 要 将 密码 文件 内 容 写 到 Screen 这 个 section 当中 了 
[root@www ~]# init 3 ; init 5 


[root@www ~]# netstat -tlunp | grep X 


tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN 
7445/Xorg 

tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN 
7445/Xorg 

tcp 0 0 :::6000 :::* LISTEN 


net.giang@hotmail.com 


0 


7445/Xorg 


# 注意 看 喔 ! 这 几 个 port 启动 的 PID 都 一 样 喔 ! 所 以 会 启动 一 个 port 
5900 


虽 ! 


之 后 你 可 以 使 用 『 vncviewer 192.168.100.254 J 来 联机 即 可 ， 不 需要 加 
上 :0 之 类 


的 井口 。 然 后 你 可 以 看 一 下 客户 问 与 服务 名 端的 图 形 接口 ， 你 会 发 现 
到 两 者 移动 鼠标 


时 ， 两 者 的 画面 会 同步 运作 喔 ! 非常 有 趣 呢 ! 只 不 过 这 个 动作 还 是 只 
允许 一 条 VNC 联 


机 ， 不 能 让 所 有 客户 端 都 连 到 port 5900 ， 这 真是 太 可 惜 了 |! 
11.5 仿真 的 远程 更 面 系统 : XRDP 服务 硕 


使 用 上 面 的 图 形 接口 的 联机 服务 器 部 有 一 个 问题 ， 除 了 联机 机 制 的 不 
邮 过 os 此 尖 


的 Xdmcp 与 VNC 原则 上 ， 资 料 都 没有 加 密 。 因 此 上 面 的 动作 大 多 仅 
适合 局 域 网 络 内 


运作 ， 不 要 连 上 Internet 比较 好 。 那 如 果 你 真 的 想 要 透 过 加 密 的 方式 运 
作 VNC， 那 


可 能 得 要 透 过 下 一 人 小节 的 介绍 才能 够 有 好 的 处 理 结 果 。 那 么 我 们 知道 
Windows 的 远程 


泉 面 (Remote Desktop Procotol, RDP, 注 7) 其 实 是 具有 联机 加 窗 功 能 
的 ， 所 以 ， 能 


不 能 在 Linux 上 面 装 一 个 RDP Server 呢 ? 是 可 以 的 ， 那 就 是 XRDP 服 
务 器 ( 注 8)。 


很 可 惜 的 是 ， 我 们 的 CentOS 6.x 预 设 并 没有 提供 XRDP 的 服务 器， 如 
条 你 有 兴趣 


的 话 ， 可 以 目 行 编译 xrdp 软件 ， 但 乌 哥 有 找到 Fedora 基金 会 提供 的 
RHEL 额外 软 


件 计 划 ( 注 9) ， 你 可 以 到 底下 的 连结 去 找到 你 对 应 的 版 本 : 
L http://download.fedora.redhat.com/pub/epel/ 


乌 哥 还 是 觉得 yum 是 好 东西 ， 因 此 乌 哥 找到 的 CentOS 6.x x86_64 版 本 
的 网 址 后 ， 


将 它 设 定 在 yum 配置 文件 内 ， 束 可 以 使 用 yum 安装 了 : 


[root@www ~]# vim /etc/yum.repos.d/fedora_epel.repo 
[epel] 
name=CentOS-$releasever - Epel 


baseurl=http://download.fedora.redhat.com/pub/epel/6/x86_64/ 


gpgcheck=0 
enabled=1 
[root@www ~]# yum clean all 


[root@www ~]# yum install xrdp 


这 样 束 安装 好 了 xrdp 软件 了 ， 接 着 下 来 束 得 要 开始 来 设 定 它 哆 ! 老实 
说 ， 在 一 般 的 主 
机 上 面 安装 好 这 个 xrdp 之 后 ， 你 根本 不 需要 调整 任何 配置 文件 ， 保 留 
好 配置 文件 束 好 


了 ， 然 后 局 动 它 ， 并 且 设 定 开 机 后 局 动 ， 末 来 只 要 用 远程 联机 连 到 这 
部 主机 ， 系统 整 


net.giang@hotmail.com 


Login to xrdp 


Module |sesman-Xwnc | 
username [root 
password [Herd 


OK | cancel | Help | 


会 启动 5910~5920 以 上 的 VNC 坊 口 ， 然 后 你 就 能 够 透 过 RDP 的 协议 
取得 VNC 的 画面 ， 


最 后 束 能 够 登入 系统 哆 ! 
[root@www ~]# /etc/init.d/xrdp start 


[root@www ~]# chkcontfig xrdp on 


[root@www ~]# netstat | grep xrdp 

tcp 0 0 127.0.0.1:3350 0.0.0.0:* LISTEN 
6615/xrdp-sesman 

tcp 0 0 0.0.0.0:3389 0.0.0.0:* LISTEN 
6611/xrdp 


# 远程 桌面 的 埠 口 是 3389 ， 但 是 xrdp 会 再 连 到 本 机 的 3350 去 唤醒 一 
Ne 
| 


VNC 的 联机 。 
# 但 是 尚未 联机 之 前 ， 并 不 会 起 动 任何 的 VNC 埋 口 承 是 了 。 


如 果 你 是 使 用 Windows 系统 ， 那 么 透 过 【开始 4 --> [程序 集 4 -->『 附 
属 应 用 程序 J 


-->『 远 程 介 面 联机 4 ， 在 出 现 的 画面 中 输入 这 部 xrdp 服务 器 的 IP 之 
后 ， 如 采 顺 利 


连 上 残 会 出 现 如 下 的 画面 : 
图 11.5-1、 连 上 服务 器 的 XRDP 服务 后 ， 会 出 现 的 联机 信息 


net.giang@hotmail.com 


癸 Applications Places Syste 192168 100 254 -可 


Tue Jul 26, 4:11 PM root 


root@www:~ 


root root 1485 J ul : 31 anaconda- ks. cfg 


root root 4096 Jj ul 22 16:14 bin 


| 
-X. 2 
rwr--r--，1 root root 10485760 J ul 25 11:48 dd lonb file 
drwr-xr-x. 2 root root 4096 J ul 25 18: 36 Desktop 
drwr- xr- xX. 2 root root 4096 J ul 25 18: 36 Docunments 
drwr-xr-x. 2 root root 4096 Jj ul 25 18: 36 Downl oads 
rwrwr--, 1 student Student 215778 Jj ul 18 00: 36 e1000- 8. 0. 30. tar. gz 
rwr--r--。 1 root root 5493180 J ul 25 11: 42 findl.log 
TWwr--r--, 1 root root 189 Jj ul 20 17: 29 hosts 
rwr--r--. 1 root root 26542 jul 14 00: 30 instal1.10g 
rwr--r--， 1 root root 7878 J ul 14 00: 27 install.|og.syslog 
TWwr--r--. 1 root root 374 J ul 22 15:56 iptables 1 
drwr-xr-x. 2 root root 4096 J ul 18 16: 36 Iftp 
rwWwr--r--. 1 root root 76096559 My 19 12:21 1i nux- 2. 6. 39.tar. bz2 
drwr-xr-x. 2 root root 4096 Jj ul 25 18: 36 Misic 
rwr--r--，1 root root 134188 Jj un 6 11:22 noip- duc-linux.tar.gz 
drwr-xr-x. 2 root root 4096 jul 25 18: 36 Pi ctures 
drwr-xr-x, 2 root root 4096 Jj ul 25 18: 36 Publit 


人 
图 11.5-2、 连 上 服务 器 的 XRDP 服务 后 ， 会 出 现 的 联机 信息 


密码 ， 嘿 嘿 ! 搞定 ! 画面 就 出 现 咖 ! 如 果 你 还 想 要 更 
一 步 的 了 解 


xrdp 的 配置 文件 ， 那 么 请 到 /etc/xrdp/ 目 孙 底下 瞧 瞧 ， 然 后 再 透 过 man 
去 看 看 相关 


的 配置 文件 信息 ， 避 ® 能 够 理解 设 定 值 史 ! 乌 哥 测试 过 ， 不 用 修改 任何 
设 定 ， 使 用 远程 


桌面 天 已 经 很 顺畅 路 ! 和 人 和 信 


不 过 你 要 注意 的 是 ， 因 为 xrdp 最 终 会 目 动 启用 VNC ， 因 此 你 还 是 必 
须要 安 婆 


tigervnc-server 才 行 ! 否则 xrdp 应 该 还 是 无 法 运作 的 哆 | 
11.6 SSH 服务 器 的 进 阶 应 用 


事实 上 ssh 真 的 很 好 用 ! 你 其 至 不 需要 启动 甚么 xdmcp, vnc, xrdp 等 等 


服务 ， 


使 用 ssh 的 加 密 通 道 束 能 够 在 客户 端 局 动 图 形 接口 ! 此 外 ， 我 们 知道 


很 多 服务 部 古 没 


有 加 密 的 ， 那 么 能 不 能 将 这 些 服 务 透 过 ssh 通道 来 加 密 呢 ? 嘿 曲 ! 当然 
是 可 以 ! 在 这 


个 章节 当中 ， 我 们 就 来 谈 谈 一 些 ssh 的 进 阶 应 用 吧 ! 
11.6.1 局 动 ssh 在 非 正规 塌 口 ( 非 port 22) 


从 前 面 的 章 闻 里面 我 们 就 曾经 提 过 ， sshd 这 个 服务 其 实 并 不 是 很 安 
全 ， 所 以 很 多 


ISP 在 入 口 处 就 已 经 将 port 22 关闭 了 ! 为 什么 要 这 么 作 呢 ? 这 是 因为 
很 多 网 站 管理 


员 并 没有 定期 的 进行 软件 update ， 而 且 为 了 方便 ， 又 很 开心 的 将 port 
22 对 全 世界 


net.qiang@Ohotmail.com 


开放 。 由 于 很 多 cracker 会 使 用 扫描 程序 乱 扫 整 个 Internet 的 埋 口 漏 


洞 ， 这 个 port 


22 承 写 一 个 很 铅 被 扫 摘 的 端口 口 啦 ! 为 了 杜绝 这 个 问题 ， 所 以 ISP 先 
帮 你 把 关 ， 爷 将 


port 22 关闭 ! 这 也 是 为 了 整个 区 网 好 ! 


只 是 ， 像 乌 哥 这 种 没有 ssh 整 快要 活 不 下 去 的 人 ， 关 闭 了 port 22 那 乌 
哥 的 头 都 


痛 了 ! 没有 办 法 工作 啊 ! 那 怎 办 ? 没关系 ， 其 实 我 们 可 以 将 ssh 开放 
在 非 正 规 的 塌 口 。 


如 此 一 来 ， cracker 不 会 扫描 到 该 端口 口 ， 而 你 的 ISP 义 没 有 对 该 塌 口 
进行 限制 ， 那 


你 就 能 够 使 用 ssh 哎 ! 很 棒 吧 ! 那 束 来 试看 看 。 我 们 的 下 将 ssh 开放 在 
port 22 及 


port 23 试看 看 (请 注意 ， port 23 不 能 够 有 被 使 用 喔 ! )。 
0 
设 定 ssh 在 port 22 及 23 两 个 埋 口 的 设 定 方 式 


[root@www ~]# vim /etc/ssh/sshd_config 

Port 22 

Port 23 <== 注 意 喔 ! 要 有 两 个 Port 的 设 定 才 行 ! 
[root@www ~]# /etc/init.d/sshd restart 


但 是 这 一 版 的 CentOS 却 将 SSH 规范 port 仅 能 局 动 于 22 而 已 ， 所 以 此 
时 会 出 现 一 


个 SELinux 的 错误 ! 那 怎 办 ? 没关系 ， 根据 setroubleshoot 的 提示 ， 我 
们 必须 要 目 


行 定 义 一 个 SELinux 的 规则 放行 模块 才 行 ! 有 没有 很 难 呢 ? 其 实 还 算 
人 简单! 整体 流程 


征 这 样 的 : 

#1. 于 /var/log/audit/audit.log 找 出 与 ssh 有 天 的 AVC 信息 ， 并 转 为 本 地 
模块 

[root@www ~]# cat /var/log/audit/audit.log | grep AVC | grep ssh | \ 


> audit2allow -m sshlocal > sshlocal.te <== 扩 展 名 要 是 .te 才 行 


[root@www ~]# grep sshd_t /var/log/audit/audit.log 外 

> audit2allow -M sshlocal <==sshlocal 束 是 刚刚 建立 的 .te 档 和 名 

六 六 六 六 六 六 六 六 六 六 六 六 六 冰冰 六 六 站 六 六 TIMPO 〇 及 于 A 本 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 六 冰冰 
To make this policy package active, execute: 

semodule -i sshlocal.pp <== 这 个 指令 会 编译 出 这 个 重要 的 .pp 模块 ! 
# 2. 将 这 个 模块 加 载 系统 的 SELinux 管理 当中 ! 

[root@www ~]# semodule -i sshlocal.pp 

#3. 再 重新 启动 sshd 并 且 观 察 埠 口 吧 ! 

[root@www ~]# /etc/init.d/sshd restart 

[root@www ~]# netstat -tlunp | grep ssh 

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 7322/sshd 
net.giang@hotmail.com 
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tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 7322/sshd 

tcp 0 0 :::22 :::* LISTEN 7322/sshd 

tcp 0 0 :::23 :::* LISTEN 7322/sshd 


有 没有 很 简单 ! 这 样 你 就 能 够 使 用 port 22 或 port 23 联机 到 你 的 sshd 
服务 喔 ! 


0 
非 正 规 埋 口 的 联机 方式 


ssh, scp, sftp 都 是 连接 到 port 22 的 ， 那 么 如 何 使 用 这 些 指 
令 到 


机 到 port 23 呢 ? 我 们 使 用 ssh 当 练 习 好 了 : 
[root@www ~]#Ssh -p 23 root@localhost 
root@localhost's password: 

Last login: Tue Jul 26 14:07:41 2011 from 192.168.1.101 
[root@www ~]# netstat -tnp | grep 23 

tcp 0 0 ::1:23 ::1:56645 ESTABLISHED 

7327/2 

tcp 0 0 ::1:56645 ::1:23 ESTABLISHED 

7326/ssh 


# 因为 网 络 是 双 回 的 ， 因 此 目 己 连 目 己 (localhost)， 束 会 抓 到 两 只 联 
机 ! 


这 样 ， 你 就 能 够 避 过 一 些 ISP 或 者 是 cracker 的 扫描 了 ! 注意 一 下 ,不 
要 将 port 开 


放 在 某 些 既 知 的 井口 上 ， 例如 你 开放 在 port 80 的 话 ， 那 你 束 没 有 办 法 
局 动 正 党 的 


WWW 服务 啦 ! 注意 注意 ! 
11.6.2 以 rsync 进行 同步 镜像 备份 


我 们 曾 在 基础 篇 第 三 版 第 二 十 五 章 里 头 谈 到 Linux 的 备份 策略 ， 该 篇 


曾 介绍 常用 


的 备份 指令 ， 包 括 tar, dd, cp 等 等 ， 不 过 当时 并 未 介绍 网 络 ， 所 以 有 个 
很 棒 的 网 络 


工具 没有 介绍 ， 那 就 是 这 个 地 方 要 谈 到 的 rsync 啦 ! 这 个 rsync 可 以 作 
为 一 个 相当 


棒 的 异地 备 援 系 统 的 备份 指令 喔 ! 因为 rsync 可 以 达到 类 似 『 镜 相 
(mirror) J 的 功 


能 呢 


rsync 最 早 是 想 要 取代 rcp 这 个 指令 的 ， 因 为 rsync 不 但 传输 的 速度 快 ， 
而 且 他 


在 传输 时 ， 可 以 比 对 本 地 端 与 远程 主机 欲 复制 的 档案 内 容 ， 而 仅 复制 
两 端 有 差异 的 档 


案 而 已 ， 所 以 传输 的 时 间 束 相对 的 降低 很 多 ! 此 外 ，rsync 的 传输 方 
式 至 少 可 以 透 过 


三 种 方式 来 运作 : 

net.giang@hotmail.com 

0 在 本 机 上 直接 运作 ， 用 法 就 与 cp 几乎 一 模 一 样 ， 例 如 : 

rsync -av /etc /tmp (将 /etc/ 的 数据 备份 到 /tmp/etc 内 ) 

0 透 过 rsh 或 ssh 的 信道 在 server / client 之 间 进 行 数据 传输 ， 例 如 : 
rsync -av -e ssh user@rsh.server:/etc /tmp (将 rsh.server 的 /etc 备份 

到 本 地 主机 的 /tmp 内 ) 

I rsync 提供 的 服务 (daemon) 来 传输 ， 此 时 rsync 主机 需要 启 


873 port: 
1. 你 必须 要 在 server 端 启动 rsync ， 看 /etc/xinetd.d/rsync 即 可 ; 


2. 你 必须 编辑 /etc/rsyncd.conf 配置 文件 ; 


3. 你 必须 设 定好 client 端 联机 的 密码 数据 ; 
4. 在 client 端 可 以 利用 : rsync -av user@hostname::/dir/path /local/path 


其 实 三 种 传输 模式 差异 在 于 有 没有 冒号 (:) 而 已 ， 本 地 端 传输 不 需要 冒 


过 过 


ssh 或 rsh 时 ， 就 得 要 利用 一 个 冒号 (:)， 如 果 是 透 过 rsync daemon 的 
话 ， 束 得 要 


两 个 冒号 (::) ， 应 该 不 难 理解 啦 ! 因为 本 地 端 处 理 很 简单 ， 而 我 们 的 
系统 本 来 号 有 


提供 ssh 的 服务 ， 所 以 ， 庶 下 马 哥 将 直接 介绍 利用 rsync 透 过 ssh 来 备 
份 的 动作 喔 。 


不 过 ， 在 此 之 前 虽 们 先 来 看 看 rsync 的 语法 吧 1 


[root@www ~]# rsync [-avrlptgoD] [-e ssh] [user@host:/dir] [/local/path] 
选项 与 参数 : 

-V: 观察 模式 ， 可 以 列 出 更 多 的 信息 ， 包 括 镜 像 时 的 档案 档 名 等 ; 
-qd : 与 -y 相反， 安静 模式 ， 略 过 正常 信息 ， 仅 显示 错误 讯息 ; 
-T: 递归 复制 ! 可 以 针对 『 目 录 J 来 处 理 ! 很 重要 | 

-u : 仅 更 新 (update)， 若 目标 档案 较 新 ， 则 保留 新 档案 不 会 覆盖 ; 
-1: 复制 链接 文件 的 属性 ， 而 非 链 接 的 目标 源 文件 内 容 ; 

-p : 复制 时 ， 连 同属 性 (permission) 也 保存 不 变 ! 

-g : 保存 源 文件 的 拥有 和 群 组 ; 

-0 : 保存 源 文件 的 拥有 人 

: 保存 源 文件 的 装置 属性 (device) 


品 


-t: 保存 源 文件 的 时 间 参 数 ; 

-I : 忽略 更 新 时 间 (mtime) 的 属性 ， 档 案 比 对 上 会 比较 快速 ，; 
-z : 在 数据 传输 时 ， 加 上 压缩 的 参数 ! 

-e : 使 用 的 信道 协议 ， 例 如 使 用 ssh 通道 ， 则 -e ssh 

-a : 相当 于 -rlptgoD ， 所 以 这 个 -a 十 最 稍 用 的 参数 了 |! 

更 多 说 明 请 参考 man rsync 的 解说 ! 

#1. 将 /etc 的 数据 备份 到 /tmp 压 下 : 

[root@www ~]# rsync -av /etc /tmp 

…( 前 面 省 略 )..… 

sent 21979554 bytes received 25934 bytes 4000997.82 bytes/sec 
total size is 21877999 speedup is 0.99 

[root@www ~]# 1 -d /tmp/etc /etc 
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drwxr-xr-x. 106 root root 12288 Jul 26 16:10 /etc 

drwxr-xr-x. 106 root root 12288 Jul 26 16:10 /tmp/etc <== 瞧 ! 两 个 目 
录 一 样 ! 


# 第 一 次 运作 时 会 伦比 较 久 的 时 间 ， 因 为 首次 建立 嘛 ! 如 果 再 次 备份 
呢 ? 


[root@www ~]# rsync -av /etc /tmp 


sent 55716 bytes received 240 bytes 111912.00 bytes/sec 


total size is 21877999 Speedup is 390.99 


# 比较 一 下 两 次 rsync 的 传输 与 接受 数据 量 ， 你 就 会 发 现 立刻 束 跑 完 
| 


# 传输 的 数据 也 很 少 ! 因为 再 次 比 对 ， 仅 有 差异 的 档案 会 被 复制 。 
# 2. 利用 student 的 身份 登入 clientlinux.centos.vbird 将 家 目录 复制 
到 本 机 , /tmp 


[root@www ~]# rsync -av -e ssh student(@192.168.100.10:~ /tmp 


student(@192.168.100.10's password: <== 输 入 对 方 主机 的 student 密码 
receiving file list ... done 

student/ 

student/.bash_logout 

(中 间 省 略 )..… 

sent 110 bytes received 697 bytes 124.15 bytes/sec 

total size is 333 speedup is 0.41 

[root@www ~]#1 -d /tmp/student 

drwx------ .4 student student 4096 Jul 26 16:52 /tmp/student 

# 有 瞧 ! 这 样 束 做 好 备份 啦 ! 很 商 单 吧 ! 


你 可 以 利用 上 面 的 范例 二 来 做 为 备份 script 的 参考 ! 不 过 要 注意 的 是 ， 
因为 rsync 是 


透 过 ssh 来 传输 资料 的 ， 所 以 你 可 以 针对 student 这 个 家 伙 制 作出 免 用 
密码 登入 的 


ssh 密 钥 ! 如 此 一 来 往 后 异地 备 援 系统 就 能 够 自动 的 以 crontab 来 进行 
备份 了 ! 简单 


到 焊 ! 


人 免 密 码 的 ssh 账号 我 们 在 上 头 已 经 讲 过 了 ， 扎 写 shell script 的 能 力也 是 
必须 


要 有 的 ! 利用 rsync 来 进行 你 的 备份 工作 吧 ! 和 人! 至 于 更 多 的 rsync 
用 法 可 以 参考 


本 章 后 面 所 列 出 的 参考 网 站 ( 注 10) 喔 ! 
例题 : 
在 clientlinux.centos.vbird (192.168.100.10) 上 面 ， 使 用 vbirdtsai 的 


吴 份 建立 一 只 脚本 ， 这 只 脚本 可 以 在 每 天 的 2:00am 主动 的 以 rsync 配 
合 ssh 取 


得 www.centos.vbird (192.168.100.254) 的 /etc, /root, /home 三 个 目录 的 镜 


像 到 clientlinux.centos.vbird 的 /backups/ 底下 。 


竹 -. 


由 于 必须 要 透 过 ssh 通道 ， 晶 必须 要 使 用 crontab 例 行 工作 排 程 ， 因 此 
肯定 

要 使 用 密 钥 系统 的 免 密 码 账号 。 我 们 在 11.2.6 小 节 已 经 谈 过 相关 作 
法 ， vbirdtsai 
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0 


已 经 有 了 公 钥 与 私 钥 档案 ， 因 此 不 要 再 使 用 ssh-keygen 了 ， 直 接 将 公 
钥 档 案 复 制 


到 www.centos.vbird 的 /root/.ssh/ 底下 即 可 。 实 际 作法 可 以 是 这 样 的 : 
#1. 在 clientlinux.centos.vbird 将 公 钥 档 复 制 给 www.centos.vbird 的 
root 

[vbirdtsia@clientlinux ~]$ scp ~/.ssh/id_rsa.pub 
root(D192.168.100.254:~ 

#2. 在 www.centos.vbird 上 面 用 root 建 置 好 authorized_keys 
[root@www ~]# 1s -ld id_rsa.pub .ssh 

-rW-r--r--. 1 root root 416 Jul 26 16:59 id_rsa.pub <== 有 公 钥 档 


drwWX------ .2 root root 4096 Jul 25 11:44 .ssh <== 有 ssh 的 相 


[root@www ~]# cat id_rsa.pub >> ~/.ssh/authorized_keys 
[root@www ~]# chmod 644 ~/.ssh/authorized_keys 

# 3. 在 clientlinux.centos.vbird 上 面 撰写 script 并 测试 执行 : 
[vbirdtsai@clientlinux ~]$ mkdir ~/bin ; vim ~/bin/backup_www.sh 
#!/bin/bash 

localdir=/backups 

remotedir="/etc /root /home" 

remoteip="192.168.100.254" 

[ -d ${localdir} ] | mkdir ${localdir} 


for dir in ${remotedir} 


do 
rsync -av -e ssh root@${remoteip}:${dir} ${localdir} 
done 
[vbirdtsai@clientlinux ~]$ chmod 755 ~/bin/backup_www.sh 
[vbirdtsai@clientlinux ~]$ ~/bin/backup_www.sh 
# 上 面 在 测试 啦 ! 
一 次 测试 可 能 会 失败 ， 
因为 乌 哥 忘记 /backups 需要 root 
# 的 权限 才能 够 建立 。 
湖区 
请 您 再 以 root 的 号 份 去 mkdir 及 setfacl 吧 ! 
# 4. 建立 crontab 工作 
[vbirdtsai@clientlinux ~]$ crontab -e 
0 2 *** /home/vbirdtsai/bin/backup_www.sh 
11.6.3 透 过 ssh 通道 加 密 原本 无 加 密 的 服务 
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何 服 器 峭 用 月 请 


现在 我 们 知道 ssh 这 个 通道 可 以 加 密 ， 而 且 ， 我 们 更 知道 rsync 稚 认 已 
经 可 以 透 


过 ssh 通道 来 进行 加 密 以 进行 镜像 传输 。 既然 如 此 ， 那 么 其 他 的 服务 
能 不 能 透 过 这 个 

ssh 进行 数据 加 密 来 传送 信息 呢 ? 当然 可 以 ! 很 棒 呢 这 个 功能 ! 要 介绍 
实 做 之 前 ， 我 

们 先 用 图 示 来 谈 一 下 作法 。 

假设 服务 器 上 面 有 启动 了 VNC 服务 在 port 5901 ， 客 户 端 则 使 用 


vncviewer 


联机 到 服务 右上 的 port 5901 束 征 了 。 那 现 在 我 们 在 客户 端 计 算 机 上 面 


局 动 一 个 


5911 的 埋 口 ， 然 后 再 透 过 本 地 端的 ssh 联机 到 服务 絮 的 sshd 去 ， 而 服 
务 絮 的 sshd 


再 去 连接 服务 器 的 VNC port 5901。 整 个 联机 的 图 示 如 下 所 示 : 
图 11.6-1、 透 过 本 地 闻 的 ssh 加 密 联 机 到 远程 的 服务 器 示意 图 


假设 你 已 经 透 过 上 述 各 个 小 节 建 立 好 服务 器 (www.centos.vbird) 上 面 的 
VNC 


port 5901 ， 而 客户 端 则 没有 启动 任何 的 VNC 塌 口 。 那 么 你 该 如 何 透 
过 ssh 来 进行 


加 密 呢 ? 很 简单 ， 你 可 以 在 客户 端 计 算 机 (clientlinux.centos.vbird) 执行 
底下 的 指 


[root@clientlinux ~]# ssh -L 本 地 塌 口 :127.0.0.1: 远 程 端口 口 [-N] 远程 主 
机 


选项 与 参数 : 
-N : 仅 局 动 联机 通道 ， 不 登入 远程 sshd 服务 
本 地 塌 口 : 就 是 开启 127.0.0.1 上 面 一 个 监听 的 塌 口 


远程 埋 口 : 指定 联机 到 后 面 远 程 主 机 的 sshd 后 ，sshd 该 连 到 哪个 埋 口 
进行 


传输 

#1. 在 客户 端 局 动 所 需要 的 端口 口 进行 的 指令 

[root@clientlinux ~]# ssh -L 5911:127.0.0.1:5901 -N 192.168.100.254 
root@192.168.100.254's password: 

<== 登 入 远程 仅 古 开局 一 个 监听 塌 口 ， 所 以 停止 不 能 动作 


#2. 在 客户 端 在 另 一 个 终端 机 测试 看 看 ， 这 个 动作 不 需要 作 ， 只 是 查阅 
而 已 


[root@calientlinux ~]# netstat -tnlp| grep ssh 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 
1330/sshd 

tcp 0 0 127.0.0.1:5911 0.0.0.0:* LISTEN 


3347/ssh 
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名 

tcp 0 0 :::22 :::* LISTEN 

1330/sshd 

[root@clientlinux ~]# netstat -tnap| grep ssh 

tcp 0 0 192.168.100.10:55490 192.168.100.254:22 ESTABLISHED 
3347/ssh 


# 在 客户 端 启 动 5911 的 塌 口 是 ssh 启动 的 ， 同 一 个 PID 也 联机 到 远程 
喔 ! 


接 下 来 你 就 可 以 在 客户 端 (192.168.100.10, clientlinux.centos.vbird) 使 用 
『 yncviewer localhost:5911 4 来 联机 ， 但 是 该 联机 却 会 连 到 


www.centos.vbird 


(192.168.100.254) 那 部 主机 的 port 5901 喔 ! 不 相信 吗 ? 当 你 达成 VNC 
联机 后 ， 


到 www.centos.vbird 那 部 主机 上 面 瞧 瞧 束 知道 了 : 
# 3. 在 服务 器 端 测试 看 看 ， 这 个 动作 不 需要 作 ， 只 是 查阅 而 已 


[root@www ~]# netstat -tnp | grep ssh 

tcp 0 0 127.0.0.1:59442 127.0.0.1:5901 ESTABLISHED 
7623/sshd: root 

tcp 0 0 192.168.100.254:22 192.168.100.10:55490 ESTABLISHED 


7623/sshd: root 


# 明显 的 看 到 port 22 的 程序 同时 联机 到 port 5901 喔 ! 
那 如 何 取 消 这 个 联机 昵 ? 先 关 闭 VNC 之 后 ， 然 后 再 将 


clientlinux.centos.vbird 的 


第 一 个 动作 (ssh -L .…) 按 下 [ctrl]-c 束 中 断 这 个 加 密 通 道 嗓 ! 这 样 会 使 
用 了 吗 ? 


你 可 以 将 这 个 动作 用 在 任何 服务 上 喔 ! 
11.6.4 以 ssh 信道 配合 XX server 传递 图 形 接口 


从 前 一 个 小 节 我 们 知道 ssh 可 以 进行 程序 的 加 蜜 传递 ， 亦 即 ssh 通道 
啦 ! 那么 可 


不 可 以 用 在 X 上 面 呢 ? 意思 和 是 说 ， 那 我 能 不 能 不 要 局 动 甚么 很 复杂 的 
接口 ， 束 古 在 原 


有 的 接口 确 下 使 用 ssh 信道 ， 将 我 所 需要 的 服务 器 上 面 的 图 形 接 口传 过 
来 束 好 了 ? 是 


可 以 的 喔 ! 乌 哥 用 一 个 Windows 上 面 的 Xming X server 作 苑 例 好 了 。 
整个 动作 是 这 


样 的 : 


口 先 在 Windows 上 面 启动 XLaunch， 并 设 定 好 联机 到 www.centos.vbird 
的 


相关 信息 ; 
0 启动 Xming 程序 ， 会 取得 一 个 xterm 程序 ， 该 程序 是 


www.centos.vbird 
的 程序 ; 
口 开 始 在 xterm 上 面 执行 X 软件 ， 束 会 在 Windows 桌面 上 面 显示 鹃 


那 我 们 就 开始 来 处 理 一 下 Xming 这 个 程序 吧 ! 启动 XLaunch 之 后 出 现 
下 图 模样 : 
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Select display settings 
Choose how Rming displays programs. 


Select how to start Xming 4 
Choose session type and whether a client 1s started nmediately. 


DS start no dient 


This will just start ,You will be able to start local dients later. 


图 start a program 


This will start a local or remote program which will connect to Xming, You will be able to 
start local dients later too, Remote programs are started using PUTTY/SSH， 


Open session via XDMCP 


This will start a remote xDMCP session, Starting local clients later is limited, This option 
is not available with the "Multiple windows mode, 


图 11.6-2、 启 动 XLaunch 程序 -选择 显示 模式 


记得 上 图 中 要 选择 Multiple windows 会 比较 漂亮 喔 ! 然后 按 下 『 下 一 
步 」 会 出 现 


下 图 : 
图 11.6-3、 设 定 XLaunch 程序 -选择 联机 方式 
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start program 


Enter or choose one X client to Run Local or Run Remote 
The program chooser can be populated by adding Programl="a" to Programl0="]" 
to a contig.xlavunch file. 


Start program xterm 下 
© Run Local 

Run Re 

图 Using PUTTY (plink.exe) 名 Using SSH (ssh.exe) 加 | With compression 
Connect to computer 192.168.100.254 

Login as user root 

Password (leave blank if using PUTTY pageant) 全 全 生生 和 和 


[EEC [RE 


只 程序 ， 并 且 是 开放 在 ssh/putty 之 类 的 软件 帮忙 进行 ssh 
吾 坦 中 


建立 喔 ! 然后 下 一 步 吧 。 
图 11.6-4、 设 定 XLaunch 程序 - 设 定 远程 联机 的 相关 参数 


Xming 会 主动 的 启动 一 个 putty 的 程序 帮 你 连 进 sshd 服务 器 ， 所 以 这 里 
得 要 大 


忙 设 定好 账号 密码 的 相关 信息 。 乌 哥 这 里 假设 你 的 sshd 尚未 取消 root 
登入 ， 因 此 


这 里 使 用 root 的 权限 喔 ! 


Ne 
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Specify parameter settings 
Enter clipboard, remote font server, and all other parameters. 


Clipboard [_ | No Access Control 
Start the integrated dipboard manager Disable 5erwer 品 cCCess Control 
Remote font server (If any) 


Additional parameters for Xming 


Additional parameters for PuTTY or SSH 


[本 二 到 站 CE 局 


Configaration complete 
Choose whether to save your settings to an KNML file. 
Click Finish to start Xming, . 
optional 
You may also 'Save con n' for re-use (run automatically or alter via -load option), 


Include PUTTY Password as insecure clear text 


= 步 B)] 和 | 王 联 和 |] GG 衣 = 
图 11.6-5、 设 定 XLaunch 程序 -是 否 支 持 复 制 贴 上 功能 
使 用 默认 值 吧 ! 直接 下 一 步 。 


图 11.6-6、 设 定 XLaunch 程序 -完成 设 定 
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[rootBwww “]# hostname 
www,centos,vbird 
[root@www “]# 国 


2 
/1 ~N 


Wd 1 


很 简单 ! 这 样 就 完成 设 定 了 ! 请 按 下 完成 ， 你 就 会 看 到 Windows 的 桌 
面 癌 然 出 天 


如 下 的 图 示 了 |! 
图 11.6-7、Windows 桌面 出 现 的 义 dlient 程序 
上 面 这 只 程序 就 是 xterm 这 个 X 的 终端 机 程序 。 你 可 以 在 上 面 输入 指 


令 ， 该 指令 


会 传送 到 Linux server ， 然后 再 将 你 要 执行 的 岁 形 数据 透 过 ssh 信道 传 
送 到 目前 的 


Windows 上 面 的 Xming ， 你 的 Linux 完全 不 用 启动 VNC, X, xrdp 等 服 
务 ! 只 要 有 


sshd 就 搞定 了 ! 就 是 这 么 简单 ! 例如 乌 哥 输入 几 个 游戏 程序 ， 你 的 
Windows 窗口 (看 


任务 栏 就 知道 了 ) 就 会 出 现 这 样 的 情况 : 

Tips: 

事实 上 ， 我 们 的 basic server 安装 方式 并 没有 帮 你 安装 xterm 

喔 ! 所 以 ， 你 得 要 自己 安装 xterm 才 行 ! yum install xterm 就 
安装 好 啦 ! 然后 上 面 的 动作 再 重 来 一 次 ， 就 可 以 成 功 嗓 ! 而 底下 的 
图 标 里 面 的 相关 软件 ， 也 是 需要 你 自己 安装 的 哟 ! 和信 
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国 Welcome to CentOS - Mozilla Firefox [Sle |[¥ 
File Edit View History Bookmarks JTools Help 


“型 同人 重 | 加 HeWusnsharedout vv|| 量 > 下 


MostVvisitedv | 人 @ Centos 上 图 Wikl [人 @Documentation 财 Forums 


| 图 welcome to Firefox xX ] 图 welcome to CentOs 愉 | 中 YYv 


E 
4 入， CentOS 上 
和 Welcome to CentOS 
[root@wwy ”]# firefox 名 
ee “#0 I The Community ENTerprise 
Operating System E 


图 11.6-8、Windows 桌面 出 现 的 义 dlient 程序 
11.7 重点 回顾 


人 以 让 使 用 者 在 任何 一 部 计算 机 登入 主机 ， 以 使 用 主 
妃 的 资 


源 或 管理 与 维护 主机 ; 

0 常见 的 远程 登录 服务 有 rsh, telnet, ssh, vnc, xdmcp 及 RDP 等 ; 

吕 telnet 与 rsh 都 是 以 明码 传输 数据 ， 当 数据 在 Internet 上 面 传 输 时 较 不 
安全 ; 


0 ssh 由 于 使 用 密 钥 系统 ， 因 此 数据 在 Intemet 上 面 传输 时 是 加 密 过 
的 ， 所 


以 较为 安全 ; 


但 ssh 还 是 属于 比较 危险 的 服务 ， 请 不 要 对 整个 Internet 开放 ssh 的 
证 


登入 权限 ， 可 利用 iptables 规范 可 登入 范围 ; 
0 ssh 的 public Key 是 放 在 服务 器 端 ， 而 private key 是 放 在 client 端 ; 


0 ssh 的 联机 机 制 有 两 种 版 本 ， 建 议 使 用 可 确认 联机 正确 性 的 version 2 


口 使 用 ssh 时 ， 尽 量 使 用 类 似 email 的 方式 来 登入 ， 亦 即 : ssh 
username@hostname 

0 client 端 可 以 比 对 server 传 来 的 public key 的 一 致 性 ， 利 用 的 档案 为 
~user/.ssh/known_hosts; 

D ssh 的 client 端 软件 提供 ssh, scp, sftp 等 程序 ; 

0 制作 不 需要 密码 的 ssh 账号 可 利用 ssh-keygen -trsa 来 制作 public， 


Private Key pair; 


DO 上 还 指令 所 制作 出 的 public key 必须 要 上 传 到 server 的 
~user/.ssh/authorized_keys 档案 中 ; 


DO Xdmcp 是 透 过 X display manager (xdm, gdm, kdm 等 ) 所 提供 的 功能 协 
议 ; 
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中 若 client 端 为 Linux 时 ， 需 要 在 X 环境 下 以 xhost 增加 可 连接 到 本 机 
X Server 的 卫 才 行 ; 
除了 Xdmcp 之 外 ， 我 们 可 以 利用 VNC 来 进行 X 的 远程 登录 架构 ; 


OUVNC 预 设 开 的 port number 为 5900 开始 ， 每 个 port 仅 允 许 一 个 联 
机 .; 


Drsync 可 透 过 ssh 的 服务 通道 或 rsync --daemon 的 方式 来 联机 传输 ， 其 


ee 仅 备份 新 的 数据 ， 因 此 传输 备份 速 
度 相当 


速 ! 
11.8 本 章 习 题 


0 Da 与 SSH 痢 是 远程 联机 服务 絮 ， 为 何 我 们 部会 推荐 使 用 SSH 而 
避 


使 用 Telnet 呢 ? 原因 何在 ? 
因为 Telnet 除了 使 用 『 明 码 J4 传 送 数据 外 ， 本 里 telnet 束 是 很 容易 被 入 


侵 的 一 个 服务 历 ， 所 以 当然 也 融 比 较 危 险 了 。 至 于 ssh 其 实 也 不 是 很 
安全 的 ! 


台湾 计算 机 危机 处 理 小 组 的 文件 可 以 明显 的 发 现 openssl + openssh 也 


征 季 

常 有 漏洞 在 发 布 ! 不 过 ， 比 起 telnet 来 说 ， 确 实 是 稍微 安全 一 些 ! 

0 请 演 试 说 明 SSH 在 Server 与 Client 端 联机 时 的 封包 加 密 机 制 ; 

利用 key pair 来 达到 加 密 的 机 制 : Server 提供 Public Key 给 Client 端 
演算 Private key ， 以 提供 封包 传送 时 的 加 密 、 解 密 ! 

sa SSH 的 配置 文件 是 哪 一 个 ?” 如 采 我 要 修改 让 root 无 法 使 用 SSH 


机 进入 我 的 SSH 主机 ， 应 该 如 何 设 定 ? 又 ， 如 采 要 让 badbird 这 个 用 
户 无 法 登 


入 SSH 主机 ， 该 如 何 设 定 ? 
SSH 配置 文件 档 名 为 sshd_config ， 通 常 放置 在 /etc/ssh/sshd_config 
内 ; 如 末 不 想 让 root 登入 ， 可 以 修改 sshd_config 内 的 参数 成 为 : 
oD no 」， 并 重新 启动 ssh 来 设 定 ! 如 果 要 让 badbird 使 
Ns 同样 在 sshd_config 里 面 设 定 为 : 『DenyUsers badbirdJ 

可 ! 
D0 在 Linux 上 ， 预 设 的 Telnet 与 SSH 服务 器 使 用 的 塌 口 (port number) 各 
为 多 少 ? 
telnet 与 ssh 的 埋 口 分 别 是 : 23 与 221 请 参考 /etc/services 喔 ! 
0 如 果 发 现 我 无 法 在 Client 端 使 用 ssh 程序 登入 我 的 Linux 主机 ， 但 是 
Linux 主机 却 一 切 正常 ， 可 能 的 原因 为 何 ? (防火 墙 、 known_hosts…) 


无 法 登入 的 原因 可 能 有 很 多 ， 最 好 先 查 询 一 下 /var/log/messages 里 面 的 
错误 讯 忌 来 判断 ， 当 然 ， 还 有 其 他 可 能 的 原因 为 : 
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0 

1. 被 防火 墙 挡 住 了 ， 请 以 iptables -L -n 来 察看 ， 当 然 也 要 察看 
/etc/hosts.deny: 

2. 可 能 由 于 主机 重新 启动 过 ， public key 改变 了 ， 请 修改 你 的 
~/ssh/known_hosts 里 面 的 主机 IP ; 

3. 可 能 由 于 /etc/ssh/sshd_config 里 面 的 设 定 问题 ， 导 致 你 这 个 使 用 
攻克 决 借用 ， 

4. 在 /etc/passwd 里 面 ， 你 的 user 不 具有 可 以 登入 的 shell ; 

5. 其 他 因素 (如 账号 密码 过 期 等 等 

0 
Be 


最 好 不 要 对 Internet 开放 你 的 SSH 服务 ， 因 为 SSH 的 加 密 函 式 库 使 用 
的 


是 openssl ， 一 般 Linux distribution 使 用 的 SSH 则 是 openssh ， 这 两 个 


套件 事实 上 仍 有 不 少 的 漏洞 被 发 布 过 ， 因 此 ， 最 好 不 要 对 Internet 开 


放 ， 毕 竞 


SSH 对 于 主机 的 权限 是 很 高 的 ! 

11.9 参考 数据 与 延伸 阅读 

0 注 1: 与 SSH 服务 器 有 关 的 两 个 重要 官网 
OpenSSH 官方 网 站 :_http:/www.openssh.com/ 
OpenSSL 官方 网 站 : _http:/www.openssl.org/ 
吕 注 2: 与 putty 及 pietty 有 关 的 网 站 


pietty 中 文 网 站 :_http://ntu.csie.org/~piaip/pietty/ 
0 注 3: XDMCP 维基 百科 : 


http:/en.wikipedia.org/wikiX display _ manager (program type) 


0 注 4: 教 你 怎么 设 定 gdm 的 custom.conf 


http://www.idevelopment.info/data/Unix/Linux/LINUX ConfiguringXDMC 
PRe 


dHatLinux.shtml 


http://www.yolinux.com/TUTORIALS/GDM XDMCP.html 


0 注 5: 目 由 的 XX server -- Xming: 
http://sourceforge.net/projects/xming/ 
0 注 6: 与 VNC 相关 的 资料 

man vncserver, man Xvnc 


使 用 X 的 VNC Module: 


http://phorum.study-area.org/viewtopic.php?t=25713 


http://fedoranews.org/tchung/vnc/03.shtml 


口 注 7: 维基 百科 : 


DD 注 8: 官网 在 http:/xrdp.sourceforge.net/ 
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0 注 9: Fedora 基金 会 提供 的 Extra Packages for Enterprise Linux 
(EPEL) 


计划 : 
0 注 10: rsync 的 相关 用 法 介绍 : 
才学 园 : 用 rsync 做 备份 : 


http://phorum.study-area.org/viewtopic.php?t=15553 


ADJ 实验 室 的 rsync + SSH:_http://www.adj.idv.tw/server/linux_rsync.php 
0 公 钥 加 蜜 机制 的 维基 百科 解释 ; 
2002/11/14: 第 一 次 完成 


2003/03/08: 加 入 标 头 说 明 ， 与 修改 部 分 内 容 ， 例 如 Telnet 服务 器 软件 


的 安装 等 等 ， 
以 及 SSH 的 putty 使 用 中 文 状态 ! 
2003/09/09: 将 本 文 进行 一 些 人 和 修订， 此外， 加 入 了 课 后 练习 ! 


2005/07/02: 将 旧 的 文章 移动 到 这 里 。 


2005/07/07: 好 不 容易 将 VNC 还 有 XDMCP 给 他 写 了 写 一 大 家 大 乌 哥 
参考 看 看 啊 ~ 


2005/07/09: 加 入 了 让 VNC 与 tty7 同步 的 vnc.so 模块 的 说 明 
2005/11/22: 加 入 了 RSH 服务 器 的 相关 资料 ! 


2006/09/18: 将 putty 的 介绍 转 成 pietty 的 介绍 ! 因为 pietty 更 好 用 ! 另 
外 也 将 


rsh 重新 改写 一 下 ， 校 稿 过 ! 


2006/09/19: 加 入 rsync 的 简易 说 明 与 操作 ! 最 文 来 的 习题 可 以 瞧 一 
瞧 ! 


2011/02/15: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 


2011/02/17: 忍痛 删除 telnet 服务 器 ， 毕 竟 真 的 很 少 用 了 一 包括 那个 rsh 
但 不 再 介 


绍 ! 有 兴趣 的 请 参考 CentOS 4.x 的 旧 文 章 吧 


2011/02/20: 将 sshd 服务 器 作 个 简单 的 修改 了 ， 增 加 一 些 篇 幅 来 说 明 相 
关 例 题 与 实 做 ， 


尤其 是 ~/.ssh/authorized_keys 的 权限 


2011/02/23: 修改 了 许多 Xdmcp, VNC 的 设 定 与 图 示 ， 最 重要 是 加 入 
xrdp 的 安 闭 与 使 


用 
2011/02/24: 加 入 Xming 透 过 X11 forward from ssh 的 方式 ! 


2011/07/25: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


2011/07/26: 将 所 有 的 图 示 以 及 相关 的 网 站 IP 通通 改 为 CentOS 6.x 以 
及 第 三 章 谈 到 


的 区 网 架构 中 |! 
2011/11/24: 经 由 网 友 的 回报 ， 在 ssh 对 式 里 面谈 到 的 公私 钥 系统 


是 错误 的 ! 经 


过 查询 后 ， 已 经 将 正确 的 版 本 放 上 去 了 |! 


最 近 更 新 日 期 : 2011/07/27 


想象 两 种 情况 ，(1) 如 采 你 在 工作 单位 使 用 的 是 笔记 本 电脑 ， 而 且 常 第 
要 市 者 你 的 笔记 本 电脑 到 处 跑 ， 那 


么 由 第 四 章 、 连 上 Internet 的 说 明 中 会 发 现 ， 哇 ! 我 的 网 络 卡 参数 要 常 
常 修改 啊 ! 而 且 ， 每 到 一 个 新 


的 地 方 ， 束 得 问 清 楚 该 地 的 网 络 参数 才 行 ! 真是 麻烦 。 (2) 你 的 公司 种 
党 有 访客 或 贯 客 来 量 ， 因 为 他 们 


也 市 来 营 电 ， 所 以 也 得 单 般 跑 来 找 你 问 网 络 参数 才能 设 定 他 的 计算 
机 。 哇 ! 这 两 种 情况 都 会 让 你 想 吴 天 


吧 ? 这 个 时 候 ， 动 态 主机 设 定 协议 (DHCP) 可 就 大 大 的 派 上 用 场 啦 ! 
DHCP 这 个 服务 可 以 目 动 的 分 配 IP 
与 相关 的 网 络 参 数 给 客户 端 ， 来 提供 客户 端 目 动 以 服务 屡 提 供 的 参数 
来 设 定 他 们 的 网 络 。 如 此 一 来 ， 使 


用 者 只 要 将 自己 的 笔 电 设 定好 经 由 DHCP 协议 来 取得 网 络 参数 后 ， 一 
插 上 网 络 线 ， 呵 呵 ! 马上 就 可 以 享 


受 mtemet 的 服务 啦 ! 很 方便 吧 ! 所 以 得 来 暴 一 瞻 这 个 好 用 的 协定 喔 
12.1 DHCP 运作 的 原理 

12.1.1 DHCP 服务 器 的 用 途 

12.1.2 DHCP 协议 的 运作 方式 ， 卫 参数 , 租约 期 限 , 多 部 DHCP 服务 器 
12.1.3 何 时 需要 架设 DHCP 服务 器 

12.2 DHCP 服务 器 端的 设 定 

12.2.1 所 需 软 件 与 档案 结构 

12.2.2 主要 配置 文件 /etc/dhcp/dhcpd.conf 的 语法 


12.2.5 内 部 主机 的 IP 对 应 


12.3 DHCP 客户 闹 的 设 定 


12.3.1 客户 端 是 Linux 


12.3.2 客户 疹 是 Windows 


12.4 DHCP 服务 器 端 进 阶 观 察 与 使 用 


12.4.1 检查 租约 档案 


lo ether-wake 实行 远程 目 到 (remote boot) 


12.4.4 DHCP 与 DNS 的 关系 

12.5 重点 回顾 

12.6 本 章 习 题 

12.7 参考 数据 与 延伸 阅读 

12.8 针对 本 文 的 建议 :http://phorum.vbird.org/viewtopic.php?p=117845 
12.1 DHCP 运作 的 原理 


在 正式 的 进入 DHCP (Dynamic Host Configuration Protocol) 服务 器 设 定 
之 有 


我 们 先 来 认识 一 下 DHCP 这 个 协议 吧 ! 还 有 ， 需 要 了 解 的 是 ， 我 们 是 
人 否 『 一 定 J 得 设 定 


DHCP 这 个 服务 器 呢 ? 这 里 都 需要 厘清 一 下 概念 喔 ! 
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12.1.1 DHCP 服务 器 的 用 途 


在 开始 DHCP 的 说 明之 前 ， 
里 面 提 到 也 


个 网 络 参数 吧 ! 要 设 定好 一 个 网 络 的 环境 ， 使 计算 机 可 以 顺利 的 连 上 


Internet ， 那 


么 你 的 计算 机 里 面 一 定 要 有 底下 几 个 网 络 的 参数 才 行 ， 分 别 是 : 


[| IP, netmask, network, broadcast, gateway, DNS IP 


其 中 ， 那 个 IP, netmask, network, broadcast 与 gateway 都 可 以 在 


/etc/sysconfig/network-scripts/ifcfg-eth[0-n] 这 档案 里 面 设 定 ，DNS 服务 
融 的 地 


址 则 是 在 /etc/resolv.conf 里 头 设 定 。 只 要 这 几 个 项 目 设 定 正 确 ， 那 么 计 
算 机 应 该 就 


没 问题 的 可 以 上 网 了 ! 所 以 说 ， 你 家 里 面 的 3,4 部 计算 机 ， 你 都 可 以 
手动 的 来 设 定 


好 你 所 需要 的 网 络 参数 ， 然 后 利用 NAT 服务 器 的 功能 ， 就 可 以 大 摇 大 
的 广 上 


Internet 了 ! 真是 不 错 入 人， 不 是 吗 ? 


好 了 ， 现 在 让 我 们 换 一 个 大 一 些 些 的 场景 吧 ! 假设 你 是 学 校 答 舍 的 网 
络 管理 员 ， 所 


管理 的 学 生计 算 机 大 概 有 100 部 好 了 ， 那 么 你 怎么 设 定好 这 100 部 的 
计算 机 呢 ? 


1. 直接 每 一 部 计算 机 都 让 你 登门 拜访 手动 的 去 设 定好 ? 


2- 将 所 有 的 学 生 都 集合 起 来 ， 然 后 精神 训话 a 喔 不 ! 古 直 接 教导 一 下 
志 妈 


设 定 ? 还 是 

3. 厌 由 一 部 主机 来 自动 的 分 配 所 有 的 网 络 参 数 给 宿舍 内 的 任何 一 部 计 
算 机 ? 

这 三 种 解决 方案 所 需要 的 时 间 都 不 相同 ， 如 果 你 选择 的 是 (1)， 那 么 乌 
可 个 人 认为 ， 


你 不 是 工作 狂 束 是 狗 择 了， 因为 所 要 伦 费 的 时 间 与 你 所 得 的 薪水 与 付 
出 的 心力 是 完全 


不 成 比例 的 。 如 琳 选 择 是 (2)， 那 么 很 可 能 你 会 被 挂 上 独裁 者 、 没 民心 
的 管理 员 的 称号 ! 


如 朱 是 选择 (3) 呢 ? 堆 喜 你 ! 这 个 方案 的 管理 时 间 人 花费 最 短 ， 也 是 最 不 
碾 烦 的 作法 啦 ! 


呵呵 ! 知道 鸟 哥 要 说 些 什 么 了 吗 ? 是 的 ! 这 个 DHCP (Dynamic Host 
Configuration 


Protocol) 服务 闫 最 主要 的 工作 ， 束 是 在 进行 上 面 的 第 三 个 方案 ， 也 残 
征 目 动 的 将 网 络 


参数 正确 的 分 配给 网 域 中 的 每 部 计算 机 ， 让 客户 端的 计算 机 可 以 在 开 
机 的 时 候 束 立即 


目 动 的 设 定好 网 络 的 参数 值 ， 这 些 参 数值 可 以 包括 了 IP、netmask 、 


network 、 gateway 


与 DNS 的 地 址 等 等 。 如 此 一 来 ， 身 为 管理 员 的 你 ， 只 要 注意 到 这 一 部 
提供 网 络 参数 的 


主机 有 没有 挂 挥 束 好 了 ， 其 他 同学 们 的 个 人 计算 机 ， 哈 ! 你 想 都 不 必 
起 要 后 从 去 入 作 : 


因为 DHCP 主机 已 经 完全 都 帮 你 搞定 啦 ! 和 和! 阿 ! 当 管 理 员 最 大 的 
幸福 束 是 可 以 哆 


喝 和 茶 、 聊 聊天 就 能 探 管 好 一 切 的 网 络 问题 呢 ! 
12.1.2 DHCP 协议 的 运作 方式 
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用 已 | ft ] 服 融 媚 
Port 68 Port 67 
= ry 
扣 案 DHCP 何 服 幼 
Nb Ps 
broadcast 


DHCP 参数 提供 
unicast 
DHCP & 数 选 探 
broadcast 
DHCP 限 务 确 斌 
unicast 


上 时间 


你 必需 要 知道 的 是 ，DHCP 通常 是 用 于 局 域 网 络 内 的 一 个 通讯 协议 ， 
他 主要 夭 由 窜 


户 问 传送 广播 封包 给 整个 物理 网 段 内 的 所 有 主机 ， 者 局域网 络 内 有 
DHCP 服务 器 时 ， 


会 啊 应 客户 端的 IP 参数 要 求 。 所 以 吵 ，DHCP 服务 器 与 客户 端 是 应 
该 要 在 同一 个 物 


理 网 段 内 的 。 至 于 整个 DHCP 封包 在 服务 紫 与 客户 剖 的 来 来 回回 情况 
有 扩 像 奈 下 这 样 : 


C1 

图 12.1-1、 

户 端 取 得 卫 参数 的 程序 可 以 简化 如 下 : 

1. 客户 端 : 利用 广播 封包 发 送 搜索 DHCP 服务 器 的 封包 : 


知客 户 端 网 络 设 定 使 用 DHCP 协议 取得 IP (在 Windows 内 为 了 目 动 取 
得 IPJ )， 


则 当 客 户 端 开机 或 者 是 重新 启动 网 络 卡 时 ， 客户 端 主机 会 发 送出 搜寻 
DHCP 服 


务 占 的 UDP 封包 给 所 有 物理 网 段 内 的 计算 机 。 此 封包 的 目标 IP 会 是 


255.255.255.255， 所 以 一 般 主机 接收 到 这 个 封包 后 会 直接 予以 丢弃 ， 
但 知 局 域 


网 络 内 有 DHCP 服务 怖 时 ， 则 会 开始 进行 后 续 行 为 。 
2. 服务 絮 端 ， 提供 客户 端 网 络 相 天 的 租约 以 供 选 择 : 


DHCP 服务 器 在 接收 到 这 个 客户 端的 要 求 后 ， 会 针对 这 个 客户 端的 硬 
件 地 址 (MAC) 


与 本 身 的 设 定数 据 来 进行 下 列 工作 : 

o 到 服务 万 的 登 孙 文件 中 导 找 该 用 户 之 前 是 否 曾经 用 过 某 个 卫 ， 奉 有 
且 该 IP 目 前 无 人 使 用 ， 则 提供 此 IP 给 客户 端 

0 大 配置 文件 针对 该 MAC 提供 额外 的 固定 IP (static IP) 时 ， 则 近 

供 该 固定 卫 给 客户 端 

0 符 不 符合 上 述 两 个 条 件 ， 则 随机 取 用 目前 没有 被 使 用 的 IP 参数 给 客 
户 山 ， 关 记录 下 来 ” 


总 之 ， 服 务 紫 病 会 针对 客户 端的 要 求 提供 一 组 网 络 参数 租约 给 客户 端 
选择 ， 由 于 
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此 时 客户 端 尚 未 有 IP ， 因 此 服务 器 端 响应 的 封包 信息 中 ， 主要 是 针对 
客户 闻 


的 MAC 来 给 予 回应 。 此 时 服务 器 端 会 保留 这 个 租约 然后 开始 等 待 客户 
端的 回应 。 


3. 客户 端 : 决定 选择 的 DHCP 服务 紫 提 供 的 网 络 参数 租约 并 回报 服务 


口 


由 于 局 域 网 络 内 可 能 并 非 仅 有 一 部 DHCP 服务 器 ， 但 客户 端 仅 能 接受 
一 组 网 络 参 


数 的 租约 。 因此 客户 端 必 需要 选择 是 否 要 认可 该 服务 器 提供 的 相关 网 
络 参 数 的 


租约 。 当 决定 好 使 用 此 服务 右 的 网 络 参数 租约 后 ， 客户 闪 便 开始 使 用 
这 组 网 络 


参数 来 设 定 目 己 的 网 络 环境 。 此 外 ， 客 户 端 也 会 发 送 一 个 广播 封包 给 
所 有 物理 网 


段 内 的 主机 ， 告 知已 经 接受 该 服务 器 的 租约 。 此 时 奇 有 第 二 人 台 以 上 的 
DHCP 服 


务 器 ， 则 这 些 没 有 被 接受 的 服务 器 会 收回 该 IP 租约 。 至 于 被 接受 的 
DHCP 服务 


万 会 继续 进行 确 下 的 动作 。 
服务 需 问 :记录 该 次 租约 行为 并 回报 客户 端 已 确认 的 啊 应 封包 信 


当 服 务 瑚 问 收 到 客户 端的 确认 选择 后 ， 服 务 夯 会 回 传 确认 的 啊 应 老 
包 ， 并且 告知 


客户 站 这 个 网 络 参 数 租约 的 期 限 ， 并 且 开始 租约 计时 喔 ! 那么 该 次 租 
约 何 时 会 


到 期 而 被 解约 ( 真 可 怕 的 字眼 ) ? 你 可 以 这 样 想 : 

o 客户 端 脱 机 : 不 论 是 关闭 网 络 接口 (ifdown)、 重 新 启动 (reboot)、 
天 机 (shutdown) 等 行为 ， 皆 算是 脐 机 状态 ， 这 个 时 候 Server 咒 束 会 将 
该 卫 回收 ， 并 放 到 Server 自己 的 备用 区 中 ， 等 待 未 来 的 使 用 ; 

o 客户 端 租约 到 期 前面 提 到 DHCP server 端 发 放 的 IP 有 使 用 的 期 


限 ， 客 户 端 使 用 这 个 IP 到 达 期 限 规定 的 时 间 ， 而 且 没有 重新 提出 
DHCP 


的 申请 时 ， 束 需要 将 IP 缴 回去 ! 这 个 时 候 殊 会 造成 断 线 。 但 用 户 也 可 
以 


再 辣 DHCP 服务 右 要 求 再 次 分 配 IP 只 。 


以 上 就 是 DHCP 这 个 协议 在 Server 端 与 Client 端的 运作 状态 ， 由 上 面 
这 个 运作 


状态 来 看 ， 我 们 可 以 晓得 ， 只 要 Server 端 设 定 没 有 问题 ， 加 上 Server 
与 Client 在 


硬件 联机 上 面 确 定 是 OK 的 ， 那 么 Client 束 可 以 直接 厌 由 Server 来 取 
得 上 网 的 网 络 


参数 ， 当 然 啦 ， 只 要 我 们 这 些 管 理 员 能 够 好 好 的 、 正 确 的 管理 好 我 们 
的 DHCP 服务 器 ， 


照旧 ! 那么 上 网 的 设 定 目 然 束 变 成 一 件 很 简单 的 事情 啦 ! 不 过 ， 关 于 
上 上述 的 流程 还 是 有 


一 些 需要 额外 说 明 的 啦 : 
0 
DHCP 服务 句 给 予 客 尸 痢 的 IP 参数 为 固定 或 动态 : 


在 上 面 的 步骤 里 面 ， 注 意 到 第 二 步骤 了 吗 ? 就 是 服务 器 会 去 比较 客户 
端的 MAC 硬 


件 地 址 ， 并 判断 该 MAC 是 否 需要 给 予 一 个 固定 的 耳 呢 ! 所 以 啦 ， 我 
们 可 以 设 定 DHCP 


服务 郁 给 予 客户 只 的 IP 参数 主要 有 两 种 : 


0 固定 (Static) IP: 
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只 要 那个 客户 端 计算 机 的 网 络 卡 不 换 挤 ， 那 么 MAC 肯定 就 不 会 改变 ， 
由 于 DHCP 


可 以 根据 MAC 来 给 予 固 定 的 卫 参数 租约 ， 所 以 该 计算 机 每 次 都 能 以 
一 个 固定 


的 IP 连 上 Intemet ! 呵呵 ! 这 种 情况 比较 适合 当 这 部 客户 端 计 算 机 需 
要 用 


的 一 些 网 络 服务 的 主机 之 用 (所 以 IP 要 固定 )。 那 么 
[何在 


Linux 上 面 知 道 网 络 卡 的 MAC 呢 ? 很 商 单 啦 ! 有 很 多 的 方式 ， 最 简单 
的 方式 束 


是 使 用 ifconfig 及 arp 来 进行 : 
#1. 观察 自己 的 MAC 可 用 ifconfig: 


[root@www ~]# ifconfig | grep HW 

eth0 Link encap:Ethernet HWaddr 08:00:27:71:85:BD 
eth1 Link encap:Ethernet HWaddr 08:00:27:2A:30:14 
# 因为 乌 哥 有 两 张 网 卡 ， 所 以 有 两 个 硬件 地 址 喔 ! 
# 2. 观察 别人 的 MAC 可 用 ping 配合 arp 
[root@www ~]# ping -c 3 192.168.1.254 

[root@www ~]# arp -n 

Address HWtype HWaddress Flags Mask Iface 


192.168.1.254 ether 00:0c:6e:85:d5:69 C eth0 


D 动态 (dynamic) IP: 


Client 端 每 次 连 上 DHCP 服务 器 所 取得 的 卫 都 不 是 固定 的 ! 都 直接 经 
由 DHCP 


所 随机 由 尚未 被 使 用 的 IP 中 提供 |! 


除非 你 的 局 域 网 络 内 的 计算 机 有 可 能 用 来 做 为 主机 之 用 ， 所 以 必需 要 
设 定 成 为 固定 


IP ， 否 则 使 用 动态 IP 的 设 定 比 较 和 商 单 ， 而 且 使 用 上 面具 有 较 佳 的 弹 
性 。 怎么 说 呢 ? 


假如 你 是 一 个 ISP 好 了 ， 而 你 只 申请 到 150 个 IP 来 做 为 你 的 客户 联机 
之 用 。 那 么 你 


是 否 真 的 只 能 邀集 到 150 的 使 用 者 ? 呵呵 ! 当然 不 喝 ! 我 可 以 邀集 200 
个 使 用 者 以 上 


呢 ! 
为 什么 ?这样 想 好 了 ， 我 今天 开 了 一 家 餐馆 ， 里 面 只 有 20 个 座位 ， 那 
么 是 否 我 一 


餐 只 能 卖 给 20 个 人 呢 ? 当然 不 是 啦 ! 因为 客人 是 人 来 人 往 的 ， 有 人 移 
吓 有 人 后 号 ， 所 


以 同样 是 20 个 座位 ， 但 是 可 以 有 40 个 人 来 吃 我 的 简 餐 ， 因 为 来 的 时 
间 不 一 样 嘛 ! 了 


解 了 吗 ? 呵呵 ! 对 啦 ! 你 这 个 ISP 虽然 只 有 150 个 IP 可 以 发 放 ， 但 是 
因为 你 的 使 用 


者 并 非 24 小 时 都 挂 在 在 线 的 ， 所 以 你 可 以 将 这 150 个 了 PP 做 民 好 的 分 
配 ， 让 200 个 


人 来 了 轮流 使 用 4 这 150 个 IP 哩 ! 
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Tips: 

其 实 IP 只 有 Public IP 与 Private IP 两 种 ， 中 文 翻译 成 『 公 共 

IPJ 写 『 私 有 IPJ 这 两 个 ， 至 于 其 他 所 谓 的 了 静态 卫 4 、 【实体 
IPJ4 、 了 虚拟 IJ、 了 浮动 式 IPJ 等 等 ， 都 是 藉 由 一 些 IP 取得 
的 方式 来 分 类 的 ， 关 于 IP 的 种 类 我 人 
得 再 好 好 的 厘清 一 下 观念 喔 ! 


事实 上 现在 主流 的 ADSL 宽带 拨 接 上 网 也 有 使 用 到 『 静 态 IP J 与 了 『 固 
定 IP J 之 类 的 


概念 喔 ! 举例 来 说 好 了 ，hinetseed net 等 主要 ISP 都 有 提供 所 请 的 : 
『 一 个 固定 IP 


搭配 7~8 个 浮动 IP J 的 ADSL 拨 接 功能 ， 也 就 是 说 同样 透 过 一 条 电话 
线 拨 接 到 ISP ， 


但 是 其 中 一 个 拨 接 是 可 以 取得 固定 的 卫 呢 ! 而 其 他 的 则 是 韭 固定 的 IP 
，DHCP 的 


static/dynamic 跟 这 个 玩意 儿 有 点 类 似 啦 ! 人 和信 
吕 
天 于 租约 所 造成 的 问题 与 租约 期 限 : 


怪 了 ! 如 果 我 们 观察 上 面 DHCP 运作 模式 的 第 四 个 步骤 ， 你 会 发 现 最 
后 DHCP 服务 


稻 还 会 给 予 一 个 租约 期 限 ! 干 嘛 还 要 这 样 的 一 个 期 限 呢 ? 其 实 设 定期 
限 还 古 有 个 优 操 


啦 ! 最 大 的 优点 就 是 可 以 避免 IP 被 某 些 使 用 者 一 直 占 用 着 ， 但 该 使 用 
者 却 是 Idle (发 


采 ) 的 状态 ! 


举 个 例子 来 说 ， 我 们 刚刚 不 是 说 到 ， 我 有 150 个 IP ， 但 是 偏偏 我 有 
200 个 用 户 


吗 ? 我 们 以 2010 年 的 世界 杯 足 球赛 来 说 明 好 了 。 假 设 每 个 使 用 者 都 急 
着 上 网 知道 世 足 


赛 的 消息 ， 那 么 某 些 热门 对 战 时 段 网 络 将 可 能 达到 使 用 尖峰 ! 也 就 是 
说 ， 这 200 个 人 


同时 要 来 使 用 这 150 个 IP ， 有 可 能 吗 ? 当然 不 可 能 ! 肯定 会 有 50 个 
人 无 法 联机 ， 


因为 『 很 抱歉 ! 目前 系统 正在 忙 线 中 ， 请 你 稍 后 再 拨 ! 4 


那 怎么 办 ? 这 个 时 候 租约 到 期 的 方式 束 很 有 用 处 啦 ! 那儿 个 已 经 联机 
进来 很 人 的 人 ， 


束 会 因为 租约 到 期 而 被 迫 脱 机 ， 这 个 时 候 该 IP 束 会 被 释放 出 来 ， 哈 
哈 ! 天 家 赶快 抢 呀 ! 


先 抢 到 先 顾 喔 ! 所 以 ， 那 50 个 人 (包括 被 迫 脱 机 的 那个 朋友 ) 只 好 继 
续 的 、 努 力 的 、 


加 油 的 来 进行 DHCP 的 要 求 虽 ! 和" 
虽然 说 是 优点 ， 但 是 其 实 如 果 站 在 使 用 者 的 角度 来 看 ， 还 


成 公 丑 的 ! 赁 


fi 
可 
豆 
小 
加 3 


什么 大 家 一 起 交 钱 ， 我 先 联机 进来 就 需要 先 被 中 出 去 ? 一 呵呵 ! 所 以 
史 ， 如 果 要 当 ISP ， 


还 十 得 要 先 规划 好 服务 的 方针 才 行 只 ! 这 样 你 可 以 了 解 租约 到 期 的 行 
为 了 吗 ? ! 和信 


既然 有 租约 时 间 ， 那 么 是 否 代表 我 用 DHCP 取得 的 IP 残 得 要 【手动 
的 在 某 个 时 


间 太 去 重新 取得 新 的 IP 呢 ? 不 需要 的 啦 ! 因为 目前 的 DHCP 客户 端 程 
序 大 多 会 主动 的 


依据 租约 时 间 去 重新 申请 IP (renew) 的 ! 也 就 是 说 在 租约 到 期 前 你 的 
DHCP 客户 端 程 


序 束 已 经 又 重新 申请 更 新 租约 时 间 了 。 所 以 除非 DHCP 主机 挂 点 ， 否 
则 你 所 取得 的 IP 


应 该 是 可 以 一 直 使 用 下 去 的 ! 


net.giang@hotmail.com 


Tips: 
一 般 来 说 ， 假 设 租 约 期 限 是 小时， 那么 客户 端 在 0.5T 会 主动 向 
DHCP 服务 器 发 出 重新 要 求 网 络 参 数 的 封包 。 如果 这 次 封包 要 求 没 
有 成 功 ， 那 么 在 0.875T 后 还 会 再 次 的 发 送 封 包 一 次 。 正 因 如 此 ， 

所 以 服务 器 端 会 启动 port 67 监听 用 户 要 求 ， 而 用 户 会 启动 port 


68 主动 向 服务 器 要 求 哩 ! 乌 哥 觉得 这 是 很 特殊 的 一 件 事 呢 ! 
0 
多 部 DHCP 服务 器 在 同一 物理 网 段 的 情况 


或 许 你 曾经 发 现 过 一 件 事 情 ， 那 就 是 当 我 的 网 域 里 面 有 两 部 以 上 的 
DHCP 服务 器 时 


到 撒 哪 一 部 服务 顺 会 提供 我 的 这 部 客户 端 计算 机 所 发 出 的 DHCP 要 
求 ? 呵呵 ! 很 抱歉 ， 


俺 也 不 晓得 ! 因为 在 网 络 上 面 ， 很 多 时 候 都 是 了 爷 抢 移 顾 J 的 ， 
DHCP 的 回应 也 是 如 


此 ! 当 Serverl 先 啊 应 时 ， 你 使 用 的 就 是 Serverl 所 提供 的 网 络 参数 内 
容 ， 如 采 坪 


Server2 先 响 应 ， 你 惑 是 使 用 Server2 的 参数 来 设 定 你 的 客户 端 PC ! 不 


过 ， 前 提 之 
下 当然 是 这 些 计算 机 的 『 物 理 联 机 4J 都 是 在 一 起 的 啊 ! 


因为 这 个 特色 的 关系 ， 所 以 当 你 在 练习 DHCP 服务 器 的 设 定之 前 ， 不 
要 在 已 经 正 


党 运作 的 区 网 下 测试 ， 否 则 会 很 惨 。 举 个 马 哥 的 例子 来 说 好 了 ， 菏 一 
次 其 他 系 的 研究 生 


在 测试 网 络 安全 时 ， 在 原 有 的 区 网 上 面 放 了 一 部 人 P 分 至 器 ， 结 采 你 狂 
垮 么 着 ? 整 栋 


大 楼 的 网 络 都 不 通 了 ! 因为 那 时 整 栋 大 楼 的 网 络 是 串 接 在 一 起 的 ， 而 
我 们 学 校 钙 使 用 


DHCP 让 客户 端 上 网 。 由 于 了 IP 分享 器 的 设 定 并 不 能 连 上 Internet ， 
哇 ! 大 家 都 无 法 


上 网 了 啦 ! 那 你 晓得 了 吗 ? 不 要 随便 测试 啦 这 个 DHCP 服务 器 ! 
12.1.3 何 时 需要 架设 DHCP 服务 器 


既然 DHCP 的 好 处 是 了 免 客户 闪 设 定 4」， 而 且 对 于 行动 婺 置 的 上 网 方 
面 非常 的 方便 ! 


那么 是 否 代表 你 就 得 要 架设 一 部 DHCP 呢 ? 那 可 不 一 定 ! 接 下 来 要 告 
知 大 家 的 是 儿 个 概 


念 性 的 问题 ， 你 倒 不 一 定 『 必 需 4」 遵守 底下 的 一 些 概念 呢 ! 反正 ， 目 
己 的 网 域 目 己 『 严 J 


就 好 啦 ! 
0 
使 用 DHCP 的 几 个 时 机 


在 某 些 情况 之 下 ， 倒 是 强烈 的 建议 架设 DHCP 主机 的 ! 什么 情况 呢 ? 
例如 : 


0 具有 相当 多 行动 猴 置 的 场合 : 


例如 你 的 公司 内 部 很 多 笔记 本 电脑 使 用 的 场合 ! 因为 这 种 笔 电 本 身 融 
是 移动 性 的 


装置 ， 如 果 每 到 一 个 地 方 都 要 去 问 人 家 『 喂 ! 你 这 边 的 网 络 参数 是 什 
么 ? 4 还 
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0 


得 要 担心 是 否 会 跟 人 家 的 IP 相 冲 突 等 等 的 问题 ! 这 个 时 候 ，DHCP 可 
器 古 你 的 


0 区 域内 计算 机 数量 相当 的 多 时 : 
另外 一 个 情况 吏 是 你 所 负责 的 网 域内 计算 机 数量 相当 庞大 时 ， 大 到 你 


| J 
没有 办 法 


一 个 一 个 的 进行 说 明 来 设 定 他 们 目 己 的 网 络 参数 ， 这 个 时 候 为 了 省 麻 


烦 ， 还 十 染 


设 DHCP 来 的 方便 呐 ! 况且 ， 维 护 一 部 你 熟悉 的 DHCP 主机 ， 要 比 造 
sy 


懂 计 算 机 的 人 要 简单 的 多 哩 ! 和 人 人 
不 建议 使 用 DHCP 主机 的 时 机 
虽然 DHCP 有 很 多 好 处 ， 但 是 你 有 没有 发 现 一 个 步 又 怪 怪 的 呀 ! 回头 


又 一 ， 客户 端 在 开机 的 时 候 会 主动 的 发 送 讯 轧 给 网 域 上 的 所 有 机 知 ， 
这 个 时 候 ， 如 于 


网 域 上 融 是 没有 DHCP 主机 呢 ? 很 抱歉 ， 那 么 你 的 这 部 客户 站 计算 
机 ， 工 仍然 会 持续 的 


发 送 讯息 ! 4 真正 的 时 间 与 次 数 不 晓得 会 有 多 久 ， 不 过 ， 肯 定 会 超过 
30 秒 以 上 ， 甚 


至 可 以 达到 一 分 钟 以 上 ! 哇 ! 那么 这 段 时 间 你 能 干 嘛 ? 呵呵 ! 除了 


等 、 还 是 等 ! 所 以 


0 0 
更 听 ! 


在 你 网 域内 的 计算 机 ， 有 很 多 机 器 其 实 是 做 为 主机 的 用 壕 ， 很 少 用 记 
需求 ， 


那么 似乎 束 没 有 必要 架设 DHCP ; 


0D 更 极端 的 情况 是 ， 像 一 般 家 里 ， 只 有 3 ~ 4 部 计算 机 ， 这 个 时 候 ， 架 
设 DHCP 


能 拿 来 练 练功 力 ， 事 实 上 ， 并 没有 多 大 的 效益 ; 


0 当 你 管理 的 网 域 当 中 ， 大 多 网 络 卡 都 属于 老 旧 的 型 号 ， 并 不 支持 
DHCP 的 协 


议 时 | 
吕 很 多 用 户 的 信息 知识 都 很 高 ， 那 么 也 没有 需要 架设 DHCP 啦 。 


如 前 所 述 ， 上 面 的 都 是 概念 性 的 说 法 ， 事 实 上 ， 一 件 事情 的 解决 之 道 
征 有 很 多 的 方 


案 的 ， 没 有 所 谓 的 下 完全 正确 4 的 方案 ， 只 有 【相对 可 行 、 并 且 符 合 
经 济 效益 与 功能 4 


的 方案 ! 所 以 曼 ， 架 设 任何 网 站 之 前 ， 请 先 多 评估 评估 呐 ! 
12.2 DHCP 服务 器 端的 设 定 


事实 上 ， 目 前 市 面 上 的 卫 分 享 器 已 经 便宜 到 爆 了 ! 而 IP 分 享 器 本 身 就 
含有 DHCP 


的 功能 。 所 以 如 果 你 只 是 想 要 单纯 的 使 用 DHCP 在 你 的 局 域 网 络 当中 
而 已 ， 那 么 建议 


你 直接 购买 一 部 IP 分 享 器 来 使 用 即 可 ， 因为 至 少 它 很 省 电 。 如 果 你 还 
有 其 他 考虑 的 


， 才 来 架设 DHCP 吧 ! 抬 下 我 们 以 一 个 人 简单 的 苑 例 来 染 设 DHCP 
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12.2.1 所 需 软件 与 档案 结构 

DHCP 的 软件 需求 很 简单 ， 就 是 只 要 服务 器 端 软件 即 可 ， 在 CentOS 6.x 
,这 

个 软件 的 名 称 就 是 dhcp 嘿 ! 如 果 是 默认 安装 ， 那 么 这 个 软件 是 不 会 安 

装 的 ， 请 自行 使 


用 yum 去 装 好 这 个 软件 吧 ! 安装 完毕 之 后 ， 你 可 以 使 用 『 rpm -ql 
dhcp J 来 看 看 这 


个 软件 提供 了 哪些 档案 ， 基 本 上 ， 比 较 重要 的 档案 数据 如 下 : 
D /etc/dhcp/dhcpd.conf 
这 个 就 是 dhcp 服务 器 的 主要 配置 文件 咯 ! 在 某 些 Linux 版 本 上 头 这 个 


档案 可 


能 不 存在 ， 所 以 如 采 你 确定 有 安 六 dhcp 软件 却 找 不 到 这 个 档案 时 ， 请 
行 


手动 

建立 它 即 可 。 

Tips: 

其 实 dhcp 软件 在 释 出 的 时 候 都 会 附 上 一 个 范例 档案 ， 你 可 以 使 用 
『 rpm -ql dhcp J 来 查询 到 dhcpd.conf.sample 这 个 范例 档案 ， 


然后 将 该 档案 复制 成 为 /etc/dhcp/dhcpd.conf 后 ， 再 手动 去 修改 


即 可 ， 这 样 设 定 比 较 容 易 啦 ! 
[ msrsbin/dhcpd 
局 动 整个 dhcp daemon 的 执行 档 啊 ! 其 实 最 详细 的 执行 方式 应 该 要 使 用 


T man 
dhcpd 4 来 查阅 一 番 的 呢 ! 和 和 
[ /var/lib/dhcp/dhcpd.leases 


这 档案 颇 有 趣 的 ! 我 们 前 面 原理 部 分 不 是 有 提 到 『 租 约 」 吗 ? DHCP 
服务 紫 站 与 


客户 端 租约 建立 的 启 始 与 到 期 日 就 是 记录 在 这 个 档案 当中 的 咯 ! 
瓯 跟 你 说 很 简单 吧 ! 整个 软件 数据 也 不 过 才 如 此 而 已 呢 ! 
12.2.2 主要 配置 文件 /etc/dhcp/dhcpd.conf 的 语法 


在 CentOS 5.x 以 前 ， 这 个 档案 都 被 放置 到 /etc/dhcpd.conf 的 ， 靳 版 的 才 
放置 


于 此 处 。 其 实 DHCP 的 设 定 很 简单 啊 ， 只 要 将 dhcpd.conf 设 定好 束 可 
居 局 吉本 训 布 过 


编辑 这 个 档案 时 你 必须 要 留意 展 下 的 规范: 
D 工 #J 为 批注 符号 ; 


D 除了 右 括号 ")" 后 面 之 外 ， 其 他 的 每 一 行 设 定 最 后 都 要 以 『 ;J 做 为 
结尾 ! 


重要 | 
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0 设 定 项 目 语法 主要 为 : 『 < 参数 代号 > < 设 定 内 容 > 4」， 例 如 : 


default-lease-time 259200; 


0 某 些 设 定 项 目 必 须 以 option 来 设 定 ， 基 本 方式 为 『 option < 参数 代码 


> < 
设 定 内 容 > J 例如 : 
option domain-name "your.domain.name ; 


基本 上 ， 我 们 刚刚 前 面 提 过 说 ， DHCP 的 IP 分 配 可 分 为 给 予 动态 IP 
与 固定 了 ， 


其 中 又 需要 了 解 的 是 ， 如 果 需 要 设 定 固定 IP 的 话 ， 那 么 就 必须 要 知道 
要 设 定 成 固定 


IP 的 那 部 计算 机 的 硬件 地 址 (MAC) 才 行 ， 请 使 用 arp 或 ifconfig 来 查 
知 你 的 接口 


的 MAC 吧 ! 好 了 ， 那么 需要 设 定 的 项 目 有 哪些 呢 ? 其 实 dhcpd.conf 
里 头 的 设 定 主要 


分 为 两 大 项 目 ， 一 个 是 服务 器 运作 的 整体 设 定 (Global) 一 个 是 了 P 设 定 
模式 (动态 或 


固定 )， 每 个 项 目的 设 定 值 大 概 有 底下 这 几 项 : 
整体 设 定 (Global) 


假设 你 的 dhcpd 只 管理 一 个 区 段 的 区 网 ， 那 么 除了 IP 之 外 的 许多 网 络 
参数 下 可 


以 放 在 整体 设 定 的 区 域 中 ， 这 包括 有 租约 期 限 、DNS 主机 的 全 地 址 、 
路 由 器 的 全 地 


址 还 有 动态 DNS (DDNS) 更 狐 的 类 型 等 等 。 当 固定 IP 及 动态 IP 内 没 
有 规范 到 某 些 设 


定时 ， 则 以 整体 设 定 值 为 准 。 这 些 参数 的 设 定名 称 为 : 
D default-lease-time 时 间 : 


用 户 的 计算 机 也 能 够 要 求 一 段 特 定 长 度 的 租约 时 间 ， 但 者 使 用 者 没有 
特别 要 求 租 


约 时 间 的 话 ， 那 么 吕 以 此 为 预 设 的 租约 时 间 。 后 面 的 时 间 参 数 柬 认 单 
位 为 秒 ; 


DD max-lease-time 时 间 : 


写 上 面 的 预 设 租约 时 间 类 似 ， 不 过 ， 这 个 设 定 值 是 在 规范 使 用 者 所 能 
求 的 最 大 


租约 时 间 。 也 束 是 说 ， 使 用 首要 求 的 租约 时 间 帮 超过 此 设 定 值 ， 则 以 
此 值 为 准 ; 


Doption domain-name "领域 名 ": 

如 果 你 在 /etc/resolv.conf 里 面 设 定 了 一 个 『 search google.com J 的 话 ， 
这 表示 当 你 要 搜寻 主机 名 时 ， DNS 系统 会 主动 帮 你 加 上 这 个 领域 名 的 
意思 3 


[| option domain-name-servers IP1, IP2: 


这 个 设 定 参数 可 以 修改 客户 疹 的 /etc/resolv.conf 档案 ! 束 是 nameserver 


a 


面 接 的 那个 DNS IP 嘿 ! 特别 注意 设 定 参 数 最 末尾 为 『serversJ4( 有 Ss 
喔 ); 


0 ddns-update-style 类 型 : 


客户 端 所 取得 的 IP 通常 是 一 直 变 动 的 ， 所 以 某 部 主机 的 主 
儿 名 三 


IP 的 对 应 就 很 难处 理 。 此 时 DHCP 可 以 透 过 ddns (请 参考 第 十 章 与 第 
十 九 剖 

DNS 的 说 明 ) 来 更 新 主机 名 与 IP 的 对 应 。 不 过 我 们 这 里 不 谈 这 么 复杂 
的 东西 ， 

所 以 你 可 以 将 他 设 定 为 none 喔 。 
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U ignore client-updates: 


与 上 一 个 设 定 值 较 相 关 ， 客 户 端 可 以 透 过 dhcpd 服务 器 来 更 新 DNS 相 


J / 心 , 


不 过 ， 这 里 我 们 也 先 不 谈 这 个 ， 因 此 就 将 它 设 定 为 ignore (忽略 ) 了 。 
Doption routers 路 由 器 的 地 址 : 

设 定 路 由 右 的 IP 所 在 ， 记 得 那个 『 routers 4 要 加 s 才 对 |! 

0 

IP 设 定 模 式 (动态 或 固定 ) 


由 于 dhcpd 主要 是 针对 局 域 网 络 来 给 予 IP 参数 的 ， 因 此 在 设 定 卫 之 
前 ， 我 们 


得 要 指定 一 个 区 网 才 行 。 指 定 区 网 的 方式 使 用 如 下 的 参数 : 
subnet NETWORK_IP netmask NETMASK _IP {...} 


我 们 知道 区 网 要 给 予 network / netmask IP 这 两 个 参数 才 行 ， 例 如 之 前 
谈 过 的 : 


192.168.100.0 / 255.255.255.0 这 样 的 设 定 值 。 上头 设 定 值 当 中 ， subnet 


netmask 是 关键 词 ， 而 大 写 部 分 就 填 上 你 的 区 网 参数 嗓 。 那 在 括号 内 还 
有 什么 参数 需要 


设 定 的 ? 那 束 是 到 底 IP 是 固定 的 还 是 动态 的 设 定 啊 : 
L range IP1 IP2: 


在 这 个 区 网 当中 ， 给 予 一 个 连续 的 IP 群 用 来 发 放 成 动态 卫 的 设 定 ， 那 
个 IP1 


IP2 指 的 是 开放 的 IP 范围 。 举例 来 说 ， 你 想 要 开放 192.168.100.101 到 


192.168.100.200 这 100 个 IP 用 来 作为 动态 分 配 ， 那 就 是 : range 


192.168.100.101 192.168.100.200; 
Uphost 主机 名 {... }; 


这 个 host 束 古 指定 固定 卫 对 应 到 固定 MAC 的 设 定 值 ， 那 个 主机 名 可 
以 目 己 


想 想 再 给 予 即 可 。 不 过 在 大 括号 内 束 得 要 指定 MAC 与 固定 的 耳 哆 | 
那 这 两 个 


设 定 值 怎 么 设 定 呢 ? 看 看 底下 鹃 : 
o hardware ethernet 硬件 地 址 : 
利用 网 络 卡 上 面 的 固定 硬件 地 址 来 设 定 ， 亦 即 该 设 定 仅 针对 这 个 硬件 
地 址 


有 效 的 意思 ; 
o fixed-address IP 地 址 : 
给 予 一 个 固定 的 卫 地址 的 意思 


说 再 多 也 没有 什么 用 啦 ! 让 我 们 实际 来 玩 一 个 案例 吧 ! 你 束 知 道 该 如 
何 处 理 了 。 


12.2.3 一 个 局 域 网 络 的 DHCP 服务 器 设 定案 例 
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假设 我 的 环境 当中 ，Linux 主机 除了 NAT 服务 器 之 外 还 得 要 人 负 贡 其 他 
服务 页 ， 例 


如 邮件 服务 局 的 文 持 。 而 在 后 端 局 域 网 络 中 则 想 要 提供 DHCP 的 服 
务 。 整 个 硬件 配置 


由 六 区 WH (centos.vbird 网 


7 多 站 同 进 二 章 
的) 项 要 注 


意 的 是 ， 在 图 中 Linux Router 有 两 块 接口 ， 其 中 ethl 对 内 而 eth0 对 
外 ， 至 于 其 他 


的 网 络 参数 设计 为 : 
0 Linux 主机 对 内 的 eth1 的 IP 设 定 为 192.168.100.254 这 个 ; 
0 内 部 网 段 设 定 为 192.168.100.0/24 这 一 段 ， 且 内 部 计算 机 的 router 为 
192.168.100.254 ， 此 外 DNS 主机 的 他 为 中 华电 信 的 168.95.1.1 及 
Seednet 的 139.175.10.20 这 两 个 ; 
0 我 想 要 让 每 个 使 用 者 预 设 租约 为 3 天， 最 长 为 6 天; 

0 只 想 要 分 配 的 卫 只 有 192.168.100.101 到 192.168.100.200 这 几 个 ， 其 
他 的 IP 则 保留 下 来 ; 
0 我 还 有 一 部 主机 ， 他 的 MAC 是 『 08:00:27:11:EB:C2 4 ， 我 要 给 他 
的 主机 


名 为 win7 ， 且 IP 为 192.168.100.30 这 个 (请 对 照 图 3.2-1 喔 ! )。 
那 我 的 配置 文件 束 会 像 底下 这 个 样子 了 : 


[root@www ~]# vim /etc/dhcp/dhcpd.conf 

#1. 整体 的 环境 设 定 

ddns-update-style none; <== 不 要 更 新 DDNS 的 设 

定 

ignore client-updates; <== 名 略 客户 端的 DNS 

更 新 功能 

default-lease-time 259200; <== 预 设 租约 为 3 天 
max-lease-time 518400; <== 最 大 租约 为 6 天 

option routers 192.168.100.254; <== 这 就 是 预 设 路 由 

option domain-name "centos.vbird"; <== 给 予 一 个 领域 名 
option domain-name-servers 168.95.1.1, 139.175.10.20; 

# 上 面 是 DNS 的 IP 设 定 ， 这 个 设 定 值 会 修改 客户 端的 /etc/resolv.conf 
档案 内 容 

#2. 关于 动态 分 配 的 IP 

subnet 192.168.100.0 netmask 255.255.255.0 { 

range 192.168.100.101 192.168.100.200; <== 分 配 的 卫 范围 
# 3. 天 于 固定 的 卫 啊 ! 

host win7 { 

hardware ethernet 08:00:27:11:EB:C2; <== 客 户 端 网 卡 MAC 


fixed-address 192.168.100.30; <== 给 予 固定 的 IP 


} 

} 

# 相关 的 设 定 参数 意义 ， 请 查询 前 一 小 节 的 介绍 ， 或 者 man dhcpd.conf 
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够 简单 吧 ! 这 样 就 设 定好 了 1! 你 可 以 复制 上 头 的 数据 然后 修改 一 下 ， 
让 里 头 的 IP 参数 


符合 你 的 环境 ， 就 能 够 设 定好 你 的 DHCP 服务 器 了 。 接 下 来 理论 上 你 
束 能 够 局 动 dhcp 


了 。 不 过 ， 在 某 些 早期 的 Linux distribution 上 面 ， 当 你 的 Linux 主机 


具有 多 个 接 


口 时 ， 你 的 一 个 设 定 可 能 会 让 多 个 接口 同时 来 监听 ， 那 殴 可 能 会 发 生 
着 误 了 。 


举例 来 说 ， 我 们 现在 的 设 定 是 192.168.100.0/24 这 个 在 eth1 上 头 的 网 
域 ， 假 设 


你 还 有 一 个 界面 eth2 在 192.168.2.0/24 好 了 ， 那 万 一 你 的 DHCP 同时 
监听 两 块 接 


口 的 话 ， 想 一 想 ， 如 果 192.168.2.0/24 网 域 的 客户 端 发 送出 dhcp 封包 
的 要 求 时 ， 他 


会 取得 什么 IP ? 当然 是 192.168.100.X ! 所 以 嚼 ， 我 们 就 得 要 针对 
dhcpd 这 个 执行 


文件 设 定 他 监听 的 接口 ， 而 不 是 针对 所 有 的 接口 都 监听 啊 ! 你 说 是 
吧 ! 入! 那 如 何 处 


理 呢 ? 在 CentOS (Red Hat 系统 ) 可 以 这 样 做 ; 


[root@www ~]# vim /etc/sysconfig/dhcpd 
DHCPDARGS="ethO" 


不 过 这 个 动作 在 CentOS 5.x 以 后 的 版 本 上 面 已 经 不 需要 了 ， 因 为 新 版 
本 的 dhcp 会 主 


动 的 分 析 服 务 器 的 网 段 与 实际 的 dhcpd.conf 设 定 ， 如 果 两 者 无 法 吻 


合 ， 束 会 有 错误 

提示 ， 人 性 化 多 了 。 人 人 ^! 接 下 来 我 们 可 以 开始 启动 dhcp 试看 看 哆 ! 
12.2.4 DHCP 服务 句 的 启动 与 观察 

开始 来 启动 dhcp 吧 ! 在 启动 前 你 得 要 注意 几 件 事情 喔 : 

0 你 的 Linux 服务 器 网 络 环境 已 经 设 定好 ， 例 如 ethl 已 经 是 
192.168.100.254:; 

0 你 的 防火 墙 规则 已 经 处 理 好 ， 例 如 : (1) 放 行内 部 区 网 的 联机 、 
(2)iptables.rule 的 NAT 服务 已 经 设 定 受 当 ; 


另外 你 要 注意 的 是 : dhcpd 使 用 的 埋 口 是 port 67 ， 并 且 启 动 的 结果 会 
记录 在 


/Var/log/messages 档案 内 ， 你 最 好 能 去 观察 一 下 /var/log/messages 所 显 
示 的 


dhcpd 相关 信息 才 好 。 
#1. 启动 后 观察 一 下 塌 口 的 变化 : 


[root@www ~]# /etc/init.d/dhcpd start 
[root@www ~]# chkcontfig dhcpd on 


[root@www ~]# netstat -tlunp | grep dhcp 


Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address PID/Program name 
udp 0 0 0.0.0.0:67 0.0.0.0:* 1581/dhcpd 
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# 2. 固定 去 看 看 登录 文件 的 输出 信息 


[root@www ~]# tail -n 30 /var/log/messages 

Jul 27 01:51:24 www dhcpd: Internet Systems Consortium DHCP Server 
4.1.1-P1 

Jul 27 01:51:24 www dhcpd: Copyright 2004-2010 Internet Systems 
Consortium. 

Jul 27 01:51:24 www dhcpd: All rights reserved. 

Jul 27 01:51:24 www dhcpd: For info, please visit 
https://www.isc.org/software/dhcp/ 

Jul 27 01:51:24 www dhcpd: WARNING: Host declarations are global. They 
are not 

limited to the scope you declared them in. 

Jul 27 01:51:24 www dhcpd: Not searching LDAP since ldap-server, 
ldap-port and 

ldap-base-dn were not specified in the config file 


Jul 27 01:51:24 www dhcpd: Wrote 0 deleted host decls to leases file. 


Jul 27 01:51:24 www dhcpd: Wrote 0 new dynamic host decls to leases file. 
Jul 27 01:51:24 www dhcpd: Wrote 0 leases to leases file. 

Jul 27 01:51:24 www dhcpd: Listening on 
LPF/eth1/08:00:27:2a:30:14/192.168.100.0/24 

Jul 27 01:51:24 www dhcpd: Sending on 
LPF/eth1/08:00:27:2a:30:14/192.168.100.0/24 

….( 以 下 省 略 )..… 


看 到 这 些 资料 就 是 成 功 的 象征 啦 ! 尤其 是 上 述 有 特殊 字体 的 部 分 。 共 
喜 你 啊 ! 真是 了 福 


气 啦 ! 4 不 过 ， 万 一 你 看 到 的 登录 档 是 类 似 克 下 的 模样 呢 ? 

Jul 27 01:56:30 www dhcpd: /etc/dhcp/dhcpd.conf line 7: unknown option 
dhcp.domain-name-server 

Jul 27 01:56:30 www dhcpd: option domain-name-server#011168. 

Jul 27 01:56:30 www dhcpd: ^ 

Jul 27 01:56:30 www dhcpd: /etc/dhcp/dhcpd.conf line 9: Expecting 
netmask 

Jul 27 01:56:30 www dhcpd: subnet 192.168.100.0 network 

Jul 27 01:56:30 www dhcpd: ^ 

Jul 27 01:56:30 www dhcpd: Configuration file errors encountered -- 


exiting 


上 述 的 数据 表示 在 第 7, 9 行 恐 忻 有 点 设 定 错误 ， 设 定 错误 的 地 方 在 行 
号 底下 还 有 指数 


符号 (人 ) 特别 标 广 出 来 ! 由 上 面 的 情况 来 看 ， 第 7 行 的 地 方 应 该 是 


domain-name-servers 未 了 加 s 了 ， 而 第 9 行 则 是 参数 下 错 ， 应 该 是 
netmask 而 非 


network ! 这 样 了 解 乎 ? 
net.giang@hotmail.com 


0 


12.2.5 内 部 主机 的 卫 对 应 


/etc/hosts 


(第 四 童 4.4.1) 会 影响 内 部 计算 机 在 联机 阶段 的 等 得 时间 吧 2? 那么 我 现 
在 使 用 DHCP 


之 后 ， 糟 糕 ! 我 怎么 知道 哪 一 部 PC 连 上 我 的 主机 ， 那 要 怎么 填写 
/etc/hosts 的 内 容 


呢 ? 这 真是 太 位 香 了 ! 就 将 所 有 可 能 的 计算 机 IP 都 加 进去 该 档案 呀 ! 


和 和! 以 岛 哥 


为 例 ， 在 这 个 例子 中 ， 乌 哥 的 分 配 的 IP 至 少 有 192.168.100.30， 
192.168.100.101 ~ 


192.168.100.200 ， 所 以 /etc/hosts 可 以 写成 : 


[root@www ~]# vim /etc/hosts 


127.0.0.1 localhost.localdomain localhost 
192.168.100.254 vbird-server 
192.168.100.30 win7 

192.168.100.101 dynamic-101 
192.168.100.102 dynamic-102 
(中 间 省 略 )..… 

192.168.100.200 dynamic-200 


这 样 一 来 ， 所 有 可 能 连 进 来 的 卫 都 已 经 有 纪录 了 ， 哈 哈 ! 当然 没有 什 
么 大 问题 咖 ! 和信! 


不 过 ， 更 好 的 解决 方案 则 是 架设 内 部 的 DNS 服务 器 ， 这 样 一 来 ， 内 部 
的 其 他 Linux 服 


务 器 也 不 必 更 改 /etc/hosts 就 能 够 取得 每 部 主机 的 IP 与 主机 名 对 应 ， 那 
样 束 更 加 受 


当 啦 1! 
12.3 DHCP 客户 端的 设 定 


DHCP 的 客户 端 可 以 是 Windows 也 可 以 是 Linux 呢 ! 鸟 哥 的 网 域内 使 
用 三 部 计算 


机 ， 就 如 图 3.2-1 所 示 的 那样 。Linux 与 Windows XP 的 设 定 方式 已 经 
分 别 在 第 四 章 


与 第 三 章 谈 过 了 ， 底 下 就 稍微 介绍 过 而 已 。 至 于 图 示 的 部 分 ， 我 们 主 
要 是 以 Windows 7 


来 做 介绍 吗 。 


12.3.1 客户 端 是 Linux 


Linux 的 网 络 参数 设 定 还 记得 吧 ? 不 记得 的 话 束 得 要 打 屁 股 了 ! 在 第 四 
革 (4.2.2) 


我 们 谈 过 目 动 取得 IP 的 方式 ， 设 定 真 的 很 简单 : 
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[root@clientlinux ~]# vim /etc/sysconfig/network-scripts/ifcfg-ethO0 
DEVICE=eth0 

NM CONTROLLED=no 

ONBOOT=yes 

BOOTPROTO=dhcp <== 就 是 他 ! 指定 这 一 个 就 对 了 |! 
[root@clientlinux ~]# /etc/init.d/network restart 


同时 记得 要 拿 掉 预 设 路 由 的 设 定 喔 ! 改 完 之 后 ， 就 将 我 们 的 整个 网 络 
重新 启动 即 可 (不 


要 使 用 ifdown 与 ifup ， 因 为 还 有 预 设 路 由 要 设 定 ! )。 请 注意 ， 如 果 你 
征 在 远程 进 


行 这 个 动作 ， 你 的 联机 『 肯 定 会 挂 挥 ! 4 ， 因 为 网 络 卡 被 你 天 了 咕 ! 
呵呵 ! 所 以 请 在 


本 机 前 面 才 进行 喔 ! 如 果 执 行 的 结果 有 找到 正确 的 DHCP 主机 ， 那 么 
几 个 档案 可 能 会 被 


更 动 喔 : 
# 1. DNS 的 IP 会 被 更 动 呢 ! 查阅 一 下 resolvconf 先 : 
[root@clientlinux ~]# cat /etc/resolv.conf 


search centos.vbird <== 还 记得 设 定 过 domain-name 否 ? 


domain centos.vbird <== 还 记得 设 定 过 domain-name 否 ? 
nameserver 168.95.1.1 <== 这 残 是 我 们 在 dhcpd.conf 内 的 设 定 值 
nameserver 139.175.10.20 
# 2. 观察 一 下 路 由 啦 ! 
[root@clientlinux ~]# route -n 
Kernel IP routing table 
Destination Gateway Genmask Flags Metric Ref Use 
Iface 
192.168.100.0 0.0.0.0 255.255.255.0U000 
eth0 
0.0.0.0 192.168.100.254 0.0.0.0 UG 000 
eth0 

# 咖 ! 没 错 ! 路 由 也 被 正确 的 捉 到 了 ! OK 的 啦 ! 

3. 察看 一 下 客户 端的 指令 吧 ! 


[root@clientlinux ~]# netstat -tlunp | grep dhc 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 
name 

udp 0 0 0.0.0.0:68 0.0.0.0:* 

1694/dhclient 

# 你 没 看 错 ! 确实 是 有 个 小 程序 在 监测 DHCP 的 联机 状态 呐 ! 


# 4. 看 一 看 客户 端 租约 所 记载 的 信息 吧 ! 
[root@clientlinux ~]# cat /var/lib/dhclient/dhclient* 
lease { 
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interface "ethO"; 

fixed-address 192.168.100.101; <== 取 得 的 卫 哆 | 
option subnet-mask 255.255.255.0; 

option routers 192.168.100.254; 

option dhcp-lease-time 259200; 

option dhcp-message-type 5; 

option domain-name-servers 168.95.1.1,139.175.10.20; 
option dhcp-server-identifier 192.168.100.254; 

option domain-name "centos.vbird"; 

renew 4 2011/07/28 05:01:24; <== 下 一 次 预计 更 新 (renew) 的 时 间 点 
rebind 5 2011/07/29 09:06:36; 

expire 5 2011/07/29 18:06:36; 


} 


# 这 个 档案 会 记录 该 适 配 卡 所 曾经 要 求 过 的 DHCP 信息 喔 ! 重要 |! 
# 有 没有 看 出 来 ， 他 几乎 束 与 你 设 定 的 /etc/dhcp/dhcpd.conf 类 似 ? 人 人 
有 没有 发 现 其 实 你 的 客户 端 取 得 的 数据 都 被 记载 在 


/var/lib/dhclient/dhclient*-eth0.leases 里 头 啊 ? 如 果 你 有 多 张 网 卡 ， 那 么 
每 张 


网 卡 目 己 的 DHCP 要 求 吏 会 被 写 入 到 不 同 档 名 的 档案 当中 去 ! 观察 该 
档案 束 知 道 你 的 


数据 是 如 何 喝 ! 这 可 也 十 插 重要 的 哆 ! 


Tips: 

你 或 许 会 问 说 ， dhcp 不 是 都 会 随机 取得 IP 吗 ? 那 为 什么 这 部 客 
户 端 clientlinux.centos.vbird 每 次 都 能 够 取得 相同 的 固定 IP 

呢 ? 很 简单 ， 因 为 上 头 的 dhclient-eth0.leases 里 面 的 
fixed-address 指定 了 想 要 固定 IP 的 选项 。 如 果 DHCP 服务 器 的 
该 了 没有 被 用 走 ， 也 在 规定 的 range 设 定 值 内 ， 那 就 会 发 放 给 你 
这 个 IP 了 。 如 果 你 想 要 不 同 的 卫 呢 ? 那 就 将 你 想 要 的 IP 取代 
上 述 的 设 定 值 啦 ! 

例题 : 


在 文献 中 谈 到 ， 如 采 区 网 内 有 多 个 DHCP 服务 硕 (假设 有 DHCP1， 
DHCP?), 


Tw 整个 物理 网 络 区 段 广播 时 ，DHCP 服务 器 将 是 先 抢 
最 的 局 


面 。 但 是 大 第 一 次 取得 DHCP1 服务 器 的 IP 后 ， 未 来 重新 启动 网 络 ， 


取得 DHCP1 的 网 络 参数 ， 这 是 为 什么 ? 


看 到 上 壕 的 dhclient-eth0.leases 客户 端 档案 了 吗 ? 因为 你 的 主机 想 
要 取得 上 次 取得 的 网 络 参数 ， 因 此 将 会 对 DHCP1 要 求 网 络 参数 。 如 果 


你 想 要 


使 用 先 抢先 肛 的 方式 来 取得 IP ， 或 者 想 要 使 用 DHCP2 来 取得 IP ， 那 


么 得 


要 修订 或 者 删除 dhclient-eth0.leases 才 行 。 
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IPv4 连 线 能 力 : 网 陵 网 路 
IPv6 连 线 能 力 : 让 网 路 存 取 
埠 体 状 翡 : 已 通用 
连 线 时 间 |: 00:56:37 
速度 : 1.0Gbps 


BS 送 一 的 一 已 kk 到 


位 元 组: 456,729 | 25,899,248 


而 内 容 四 员 停 用 加 ) 诊断 从) 


关于 亿 ) 


12.3.2 客户 端 是 Windows 


在 Windows 底下 设 定 DHCP 协议 以 取得 IP 实在 是 很 简单 喔 ! 例如 ， 你 
可 以 到 第 


三 章 的 3.2.2 小 和 去 瞧 瞧 如 何 设 定 的 揪 取 图 示 。 我 们 这 里 以 Windows 7 
作为 介绍 好 


了 。 你 可 以 依据 『 开 始 4 -->『 控 制 面板 1 --> 『 检 视 网 络 状态 及 工作 4 
-> 『 变 更 适 配 


卡 设 是 1 ， 在 出 现 的 图 示 中 ， 选 择 属 于 你 的 相关 网 卡 ， 然 后 连 击 两 下 
之 后 ， 殊 开始 抵 下 


的 设 定 程序 : 
1. 如 上 所 述 ， 点 击 网 络 卡 设 定 后 ， 会 出 现 如 下 图 示 : 


图 12.3-1、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 


2. 在 图 12.3-1 的 地 方 按 下 箭头 所 指 的 『 内 容 ] 处， 就 会 出 现 如 下 画面 
喝 : 
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潭 路 功能 


连 徐 方式 :: 
Ee Intel(R) PRO/OO00 MT Desktop Adapter 


G5 
这 个 连 线 使 用 下 列 项 目 (O): 

Om Client for Microsoft Networks 

图 Qog 封包 排 程 器 

图 Fle and Printer Sharing for Microsoft Networks 

-< 酒 际 网 路 通讯 协定 第 6RR (CTCPIPv6) 

:和 名 光 路 通讯 协定 第 4RR (TCPAIPv4) 
-< Link-Layer/Aopoloey Discovery Mapper LO Driver 
,Link-Lavyer Ropoloey Discovery Responder 


[|] <&] [<|] <] [<] [<] [<] 


解除 安装 伞 ) 


描述 


优厚 控制 通讯 协定 , 汪 际 网 赣 通 讯 协 定 (TCPJIP) 。 这 是 预 
ei 提供 个 同 网 路 之 阅 的 通讯 能 


取消 


图 12.3-2、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 


在 上 面 的 画面 当中 ， 先 点 选 TCP/IP4 第 四 版 卫 协议 ， 然 后 按 下 『 内 
容 J] 


就 可 以 开始 来 修改 网 络 参数 吗 ! 


3. 接 下 来 如 下 图 所 示 ， 你 只 要 勾 选 【 目 动 取得 IP 地 址 4 那个 项 目 ， 然 
后 按 下 


【确定 4 并 离开 设 定 画 面 ， 如 此 一 来 Windows 束 会 开始 目 动 取 得 卫 
的 工作 了 。 
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妆 | 其 他 设 定 


如 果 您 的 网 路 支援 这 项 功能 ， 您 可 以 取得 自 吉 指派 的 卫 设 定 * 否 
旧 : 和 您 必 绢 询 的 卫 识 十。 


人 回 自动 取得 IP 位 址 (0) 
使 用 下 列 的 IP NS 


镶 自动 取得 DNS 伺服 器 位 址 B) 
了 使 用 下 列 的 DNS 伺服 器 位 址 全 ): 


袁 用 DNS 1 合 服 器 是 


和 
问 漳 路 闲 统管 理 身 正 确 


mh +=IBD9Q 7 
DN 1 可 有 HR 本 (由 


结束 时 确 沁 设 定 民 ) 


图 12.3-3、 局 域 网 络 的 Windows 7 系统 设 定 DHCP 的 方式 
4. 那 你 如 何 确认 你 的 耳 已 经 被 顺利 的 取得 呢 ? 如 果 是 在 早期 的 


Windows 


95 ， 你 可 以 使 用 一 个 名 为 『 winipcfg 」 来 观察 你 的 IP 设 定 。 不 过 在 


windows 


2000 以 后 ， 你 可 能 需要 使 用 命令 提示 字符 来 观察 才 行 。 你 可 以 使 用 : 
『 开 始 4 


-->『 所 有 程序 4 -->『 附 属 应 用 程序 」-->『 命 令 提示 字符 4 来 取出 终端 
机 ， 然 


后 这 样 处 理 看 看 : 


C:\Users\win7> ipconfig /all 


.…( 前 面 省 略 ).…. 

以 太 网 络 卡 区 域 联 机 : 

联机 特定 DNS 后 级 ........: centos.vbird 

描述 ...............: Intel(R) PRO/1000 MT Desktop Adapter 
实体 地 址 .............:08-00-27-11-EB-C2 

DECE 电 局 则 ee 是 

自动 设 定 启用 ...........: 是 

链接 -本 机 IPv6 地 址 ....... : fe80::ec92:b907:bc2a:a5fa%11( 偏 
好 选项 ) 

IPv4 地 址 ............:192.168.100.30( 偏 好 选项 ) <== 


这 是 取得 的 人 Pp 


子 网 掩 码 ............:255.255.255.0 
租用 取得 .............:2011 年 7 月 27 日 上 午 11:59:18 
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名 
<== 这 是 租约 


租用 到 期 .............:2011 年 7 月 30 日 上 午 11:59:18 


预 设 网 关 ............:: : 192.168.100.254 


DHCP 服务 促 2 : 192.168.100.254 <== 这 一 部 DHCP 
服务 句 
DNS 服务 器 ............ : 168.95.1.1 <== 取 得 的 DNS 


139.175.10.20 

NetBIOS over Tcpip ........: 启 用 
C:\Users\win7> ipconfig /renew 

# 这 样 可 以 立即 要 求 更 新 IP 信息 喔 ! 
这 样 就 OK 的 啦 ! 简单 吧 ! 

12.4 DHCP 服务 器 端 进 阶 观察 与 使 用 


如 采 你 要 管理 的 是 几 十 部 甚至 是 几 百 部 的 计算 机 时 ， 你 总 是 希望 能 够 
根据 座位 来 进 


行 IP 的 给 予 吧 ? 因此 ， 固 定 IP 配合 MAC 整 显 的 很 重要 啦 ! 那么 如 何 
取得 每 部 主机 


的 IP 呢 ? 还 有 ， 你 怎么 查询 到 相关 的 租约 呢 ? 以 及 ， 如 琳 你 还 想 要 进 
行 远程 开机 ， 帮 


使 用 者 在 固定 的 时 间 就 开机 呢 ? 那 就 来 看 看 底下 的 其 他 用 途 吧 ! 
12.4.1 检查 租约 档案 


客户 端 会 主动 的 纪录 租约 信息 ， 那 服务 器 端 更 不 能 忘记 记录 嘿 ! 服务 
器 端 是 记录 在 


这 个 地 方 : 


[root@www ~]# cat /var/lib/dhcpd/dhcpd.leases 


lease 192.168.100.101 { 

starts 2 2011/07/26 18:06:36; <== 租 约 开始 日 期 
ends 5 2011/07/29 18:06:36; <== 租 约 结束 日 期 
tstp 5 2011/07/29 18:06:36; 

cltt 2 2011/07/26 18:06:36; 

binding state active; 

next binding state free; 

hardware ethernet 08:00:27:34:4e:44; <== 客 户 端 网 卡 
} 
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从 这 个 档案 里 面 我 们 就 知道 有 多 少 客 户 端 已 经 向 我 们 申请 了 DHCP 的 
IP 使 用 了 呢 ! 很 


容易 了 解 吧 | 
12.4.2 让 大 量 PC 都 具有 固定 IP 的 脚本 


想 一 想 ， 如 末 你 有 一 百 台 计算 机 要 管理 ， 每 部 计算 机 都 希望 是 固定 人 P 
的 全 多 下 ， 


那 你 要 如 何 处 置 ? 很 简单 ， 透 过 DHCP 的 fixed-address 就 行 啦 ! 但 
是 ， 这 一 百 台 计 


算 机 的 MAC 如 何 取得 ? 你 要 怎么 改 啦 ? 难道 每 部 计算 机 都 去 抄写 ， 
然后 再 回来 设 定 


dhcpd.conf 吗 ? 这 也 太 可 怕 了 吧 ? 既然 每 部 计算 机 最 终 都 得 要 开机 ， 
那么 你 在 开机 之 


后 ， 利 用 手动 的 方法 来 设 定好 每 部 主机 的 IP 后 ， 在 根据 底下 的 脚本 来 
处 理 好 你 的 


dhcpd.conf 史 | 


[root@www ~]# vim setup_dhcpd.conf 

#!/bin/bash 

read -p "Do you finished the IP's settings in every client (y/n)? " yn 
read -p "How many PC's in this class (ex> 60)? " num 
if [ "$yn" = "y" J; then 

for site in $(seq 1 ${num}) 

do 

siteip="192.168.100.${site}" 

allip="$allip $siteip" 

ping -c 1 -w 1 $siteip > /dev/null 2>&1 

if ["$?" == "0" ]; then 

okip="$okip $siteip" 

else 

errorip="$errorip $siteip" 

echo "$siteip is DOWN" 


fi 


done 

[ -fdhcpd.conf ] && rm dhcpd.conf 
for site in $allip 

do 

pcname=pc$(echo $site | cut -d '.' -f 4) 
mac=$(arp -n | grep "$site " | awk '{print $3}'") 
echo " host $pcname {" 

echo " hardware ethernet ${mac};" 
echo " fixed-address ${site}:" 
echo"}" 

echo " host $pcname {" >> 
dhcpd.conf 

echo " hardware ethernet ${mac}:" >> 
net.giang@hotmail.com 

2 

dhcpd.conf 

echo " fixed-address ${site};"” >> 
dhcpd.conf 

echo " }" >> 


dhcpd.conf 


done 

fi 

echo "You can use dhcpd.conf (this directory) to modified your 
/etc/dhcp/dhcpd.conf" 

echo "Finished." 


这 个 脚本 的 想法 很 商 单 ， 如 采 你 管理 的 计算 机 都 是 Linux 的 话 ， 那 么 
先 开 机 后 使 用 


『 ifconfig eth0 YOURIP 4」 来 设 定 对 应 的 耻 ， 在 乌 哥 这 个 例子 中 ， 我 
使 用 的 是 


192.168.100.X/24 这 个 区 段 ， 此 时 IP 就 设 定好 了 ! 然后 在 透 过 上 面 的 
脚本 跑 一 次 ， 


每 部 计算 机 的 MAC 与 IP 对 应 就 顺利 的 写 入 dhcpd.conf 史 ! 然后 你 在 
将 它 贴 上 


/etc/dhcp/dhcpd.conf 即 可 ! 如 采 你 管理 的 计算 机 是 Windows 的 话 ， 那 
使 用 文字 接 


口 下 达 『 netsh interface ip set address xxx 」 之 类 的 指令 来 修订 史 ! 
12.4.3 使 用 ether-wake 实行 远程 目 动 开机 (remote boot) 


既然 已 经 知道 客户 端的 MAC 地 址 了 ， 如 琳 客 户 端 的 主机 符合 一 些 电源 
标准 ， 并 且 

该 客户 问 主 机 所 使 用 之 网 络 卡 茎 主板 支持 网 络 唤醒 的 功能 有 时， 我们 下 
可 以 透 过 网 络 来 让 


客户 端 计算 机 开机 了 。 如 果 你 有 一 部 主机 想 要 让 他 可 以 透 过 网 络 来 局 
动 时 ， 你 必须 要 


在 这 部 客户 端 计算 机 上 进行 : 
首 


1. 首先 你 得 要 在 BIOS 里 面 设 定 『 网 络 唤醒 4 的 功能 ， 否 则 是 没有 用 的 
喔 


2. 再 来 你 必须 要 让 这 部 主机 搂 上 网 络 线 ， 并 且 电 源 也 是 接 通 的 。 
3. 将 这 部 主机 的 MAC 抄 下 来 ， 然 后 天 机 等 竺 网 络 唤醒 。 


接 下 来 请 到 永远 开 着 的 主机 DHCP 服务 器 上 面 (其 实 只 要 任何 一 部 
Linux 主机 均 


可 ! ) ， 安 装 net-tools 这 个 软件 后 ， 就 会 取得 ether-wake 这 个 指令 ， 这 
束 是 网 络 


唤醒 的 主要 功能 ! 那 该 如 何 使 用 这 个 指令 呢 ? 假设 客户 端 主机 的 MAC 
为 


11:22:33:44:55:66 并 且 与 我 的 服务 器 ethl 相连 接 好 了 ， 那 么 你 想 要 让 这 
部 主机 被 唤 


桓 ， 束 这样 做 吧 : 

[root@www ~]# ether-wake -i eth1 11:22:33:44:55:66 
# 更 多 功能 可 以 这 样 查阅 喔 : 

[root@www ~]# ether-wake -u 


net.giang@hotmail.com 


然后 你 就 会 发 现 ， 哈 哈 ! 那 部 客户 端 主机 被 启动 了 ! 以 后 如 果 你 要 连 
到 局 域 网 络 内 的 话 ， 


只 要 能 够 连 上 你 的 防火 墙 主机 ， 然 后 通过 这 个 ether-wake 软件 ， 束 能 
够 让 你 局 域 网 络 


内 的 主机 启动 了 ， 控 管 上 面 就 更 加 方便 的 啦 !1 你 说 是 吧 ! 和信 
Tips: 

乌 哥 办 公 室 有 一 部 棵 机 是 经 常用 来 测试 的 机 器 ， 但 是 因为 比较 耗 电 ， 
因此 当 乌 哥 离 开办 公 室 时 ， 就 会 将 计算 机 关闭 。 不 过 乌 哥 办 公 室 有 
一 部 NAT server 在 负责 防火 墙 的 第 一 道 关卡 ， 当 乌 哥 在 家 里 有 需 
要 查询 到 学 校 桌 机 的 数据 时 ， 桌 机 关 了 怎 办 ? 没关系 ， 透 过 NAI 
server 登入 后 ， 使 用 ether-wake 唤醒 桌 机 ， 那 就 能 够 开机 进去 工 
作 嘿 ! 这 样 也 比较 不 怕 耗 电 问题 ~ 

12.4.4 DHCP 与 DNS 的 关系 


A Linux 服务 器 时 ， 你 得 要 将 private IP 加 
入 到 每 


部 主机 的 /etc/hosts 里 面 ， 这样 在 联机 阶段 的 等 每 时 间 才 不 会 有 逾 时 或 
者 是 等 筛 太 


和 久 的 问题 。 问 题 是 ， 如 条 计算 机 数量 太 大 ， 又 有 很 多 测 话机 时 ， 这 时 
你 得 要 闻名 去 更 


新 维护 那些 重 灌 过 的 机 需 的 /etc/hosts ， 烦 不 烦 呐 ? 


此 时 在 区 网 内 架设 一 部 DNS 服务 器 负责 主机 名 解析 了 束 很 重要 ! 因此 既 
然 已 经 有 


DNS 服务 器 帮忙 进行 主机 名 的 解析 ， 那 你 根本 不 需要 更 动 /etc/hosts ! 
未 来 的 新 机 如 


或 者 是 者 灌 的 计算 机 也 不 需要 改写 任何 网 络 参数 ， 这 样 维护 会 轻松 很 
多 = 因由 二 人 


好 的 区 网 内 ， 理 论 上 ， 我 们 应 该 在 DHCP 服务 器 主机 上 面 在 安装 一 个 
DNS 服务 器 ， 提 


供 内 部 计算 机 的 名 称 解 析 为 是。 


介绍 喝 。 


0D 
DHCP 啊 应 速度 与 有 网 管 switch 的 设 定 问题 


乌 哥 在 昆山 信息 传播 系 (http:/www.dic.ksu.edu.tw) 负责 五 间 计 算 机 教室 
的 维 


护 ， 每 间 计算 机 教室 内 部 的 giga switch 是 低 阶 的 有 网 管 功能 的 机 器 ! 
有 网 管 功能 机 


万 的 设 定 信息 比较 多 ， switch 也 能 够 进行 封包 异常 的 侦 测 与 抵挡 。 问 
题 是 ， 如 采 抵 挡 


的 行为 『 太 超过 4 时 ， 也 可 能 造成 许多 问题 。 


乌 哥 管理 的 计算 机 教室 在 重新 启动 网 络 取 得 DHCP 时 ， 都 会 等 竺 几乎 
达 30 秒 ， 虽 


然 最 终 是 成 功 的 ， 但 是 等 这 么 久 呢 ! 取得 IP 之后， 网 络 速度 却 又 是 正 
常 的 ， 一 切 没 


问题 ~ 就 是 教导 网 络 参数 设 定时 ， 学 生 都 会 哇哇 叫 ! 以 为 失败 了 ， 有 
的 等 了 将 近 一 分 


钟 才 告知 取得 卫 且 为 正常.… 


后 来 问 了 有 经 验 的 计 中 的 罗 组 长 ， 才 发 现 可 能 是 switch 的 问题 。 大 多 
在 设 定位 于 


TL2 FeaturesJ --> 『Spanning TreeJ --> 『STP Port SettingsJ 的 子 项 目 
之 类 的 字 


眼 ， 将 STP 之 类 的 塌 口 都 设 定 为 关闭 (Disabled) 看 看 ， 乌 哥 做 完 这 个 
设 定 后 ，DHCP 


的 取得 束 顺 畅 了 ! 连 市 的 网 络 开 机 功能 也 束 没 有 问题 ~~ 这 部 份 也 提供 
给 大 家 参考 哟 | 
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Tips: 
网 友 巩 立 伟 兄 来 信 谈 到 ，STP 主要 的 目的 是 在 抵挡 广播 风暴 ， 若 侦 
测 到 广播 风暴 时 ， 该 switch 的 埠 口 会 被 停 用 。 只 是 启动 这 个 功能 
后 ， 会 较 缓慢 的 进入 运作 状态 ， 所 以 会 产生 较 慢 的 情况 发 生 。 较 好 
的 switch 会 支持 RSTP (Rapid spanning tree protocol)， 速 度 

会 较 快 一 些 。 感 谢 朋 友 提 供 的 信息 喔 ! 和 人 人 ^ 


12.5 重点 回顾 


DDHCP (Dynamic Host Configuration Protocol) 可 以 提供 网 络 参数 给 客 
启 


端 计算 机 ， 使 其 自动 设 定 网 络 的 功能 ; 


吕 透 过 DHCP 的 统一 管理 ， 在 同一 网 域 当 中 或 比 较 不 容易 出 现 IP 冲突 
的 情况 

发 生 ; 

0 DHCP 可 以 透 过 MAC 的 比 对 来 提供 Static IP (或 称 为 固定 IP)， 否 则 
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通 向 


提供 客户 端 dynamic IP (或 称 为 动态 IP); 


0D DHCP 除了 Static IP 与 Dynamic IP 之 外 ， 还 可 以 提供 租约 行为 之 设 


全 ; 
0 在 租约 期 限 到 期 之 前 ， 客 户 端 dhcp 软件 即 会 主动 的 要 求 更 新 ( 约 0.5， 
0.85 倍 租约 时 间 左 右 ); 


0 DHCP 可 以 提供 的 MAC 比 对 、Dynamic IP 的 IP 范围 以 及 租约 期 限 
等 等 


都 在 dhcpd.conf 这 个 档案 当中 设 定 的 ; 


0 一 般 的 情况 之 下 ， 使 用 者 需要 自行 设 定 dhcpd.leases 这 个 档案 ,不 


= 
正 的 租约 档案 记录 是 在 /var/lib/dhclient/dhclient-eth0.leases 里 面 ; 
0 如 果 只 是 要 单纯 的 DHCP 服务 ， 建 议 可 以 购买 类 似 IP 分 享 器 的 设备 


即 可 提 
供 稳定 且 低 耗 电 的 网 络 服务 。 
DD DHCP 服务 与 DNS 服务 的 相关 性 很 高 ; 


DD 若 DHCP 客户 端 取得 IP 的 速度 太 慢 ， 或 许可 以 找 一 下 有 网 管 switch 
的 


STP 设 定 值 。 

12.6 本 章 习 题 

0 DHCP 主要 的 两 种 IP 分 配 模式 为 何 ? 

主要 的 两 种 分 配 模式 分 别 为 Dynamic IP 与 Static IP ， Static IP 透 过 


MAC 的 比 对 ， 至 于 Dynamic IP 则 是 直接 取 用 网 域 中 尚未 被 使 用 到 的 
IP 来 进行 


Client 端的 分 配 。 


DD 在 有 DHCP 主机 存在 的 网 域 当中 ， 且 dlient 端 亦 使 用 DHCP 来 规划 
客户 端 


的 网 络 参数 ， 那 么 请 问 ， 在 该 网 域 当 中 ，Client 端 透 过 DHCP 取得 IP 
的 流程 


为 何 ? 
1. 首先 ， Client 端 会 发 出 一 个 DHCP 要 求 封 包 ，; 
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2. server 病 毛 收 到 要 求 后 ， 会 主动 的 啊 应 信息 给 Client ; 

3. Client 名 接受 该 DHCP 主机 所 提供 的 参数 ， 则 主机 会 记 杂 下 租约 信 
思 ， 至 于 client 闹 则 开始 以 主机 提供 的 参数 设 定 其 网 络 

0 DHCP 是 如 何 发 送 Static IP 的 ? 可 以 使 用 何 种 指令 取得 该 信息 ? 


DHCP 主要 利用 网 络 卡 的 硬件 地 址 ， 亦 即 俗称 的 『 网 络 卡 卡号 上 4 ， 也 
就 是 MAC 


来 进行 Client 并 的 比 对 的 ， 至 于 主动 取得 Client 端的 方式 ， 可 以 透 过 
ping 


以 及 arp 来 获得 。 
0 在 DHCP 服务 絮 的 租约 档 ， 亦 即 /var/lib/dhcpd/dhcpd.leases 当中 ， 记 
孙 了 什么 信息 ? 


这 个 档案 主要 记录 了 Client 器 连 上 Server 闹 的 纪录 数据 ， 他 会 被 
DHCP 


主机 用 来 判定 与 Client 端的 租约 行为 喔 ! 

0 DHCP 的 登录 档 放 置 于 何 处 ? 

0 就 是 最 重要 的 /var/log/messages 这 个 档案 啦 ( 预 设 状况 下 ! ) 
12.7 参考 数据 与 延伸 阅读 

0 注 1: 在 维基 百科 的 DHCP 相关 说 明 : 


http://zh.wikipedia.org/zh-tw/DHCP 


http://en.wikipedia.org/wiki/Dynamic Host Configuration Protocol 

0 其 他 可 供 碍 阅 之 数据 : 

DHCP mini HOWTO: 英文 版 : http:/Wtldp.org/HOWTO/DHCP/index.html 
DHCP mini HOWTO: 中 文 版 : 
http://www.linux.org.tw/CLDP/MiniHOWTO/network/DHCP/ 


Internet Software consortium: http://www i.isc.org/software/dhcp 


2002/11/23: 第 一 次 完成 2003/03/15: 加 入 相关 重点 回顾 、 与 练习 题 
2003/09/10: 修改 版 面 去 ! 2006/12/05: 将 旧 的 文章 移动 到 此 处 


2006/12/06: 好 累 ! 怎么 老 是 在 说 累 ~ 总 之 ， 完 成 嗓 一 新 增加 ether- 
wake 的 网 络 唤醒 


2011/02/24: 将 基于 CentOS 4.x 的 旧 的 文章 移动 到 此 处 


2011/03/03: 加 入 了 DNS 的 相关 性 ， 有 网 管 的 STP 会 影响 DHCP 的 取 
得 等 数据 。 


2011/07/27: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
2011/07/27: 主要 是 将 Windows 的 图 示 以 Windows 7 来 示意 哎 ! 
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a ro 三 入 之 .9 之 一 NES Bra 
最 近 更 新 日 期 : 2011/07/27 


NFS 为 Network FileSystem 的 人 简称， 它 的 目的 就 是 想 让 不 同 的 机 妖 、 不 
同 的 操作 系统 可 以 彼此 分 享 个 


别 的 档案 啦 ! 目前 在 Unix Like 当中 用 来 做 为 文件 服务 器 是 相当 不 错 的 
一 个 方案 喔 ! 基本 上 ， Unix Like 


主机 连接 到 另 一 部 Unix Like 主机 来 分 享 彼 此 的 档案 时 ， 使 用 NFS 要 
比 SAMBA 这 个 服务 絮 快 速 日 方便 


的 多 了 ! 此 外 ，NFS 的 设 定 真 的 很 简单 ， 几 乎 只 要 记得 局 动 Remote 
Procedure Call 这 个 吃 吃 (RPC, 束 


古 rpcbind 这 个 软件 啦 ! ) 束 一 定 可 以 架设 的 起 来 ! 真是 不 错 啊 ! 如 来 
是 在 Linux PC cluster 的 环 


境 下 ， 这 个 服务 器 被 使 用 的 机 率 更 是 高 的 多 喔 ! 所 以 得 来 玩 一 玩 啊 ! 
13.1 NFS 的 由 来 与 其 功能 

13.1.1 什么 是 NFS (Network FileSystem ) 

13.1.2 什么 是 RPC ( Remote Procedure Call ) 


13.1.3 NES 忆 动 时 RPC daemons 


13.1.4 NFS 的 档案 访 品 


13.2.4 局 动 NFS: rpcinfo 


13.2.5 NFS 的 联机 观 宕 :showmount, /varvlib/nfs/etab, exportfs 
13.2.6 NFS 的 安全 性 ;防火墙 与 埋 口 , 关机 注意 事项 

13.3 NFS 客户 端的 设 定 

13.3.1 手动 挂 载 NFS 服务 器 分 享 的 资源 


13.3.2 客户 端 可 处 理 的 挂 载 参数 与 开机 挂 载 :特殊 参数 

13.3.3 无 法 挂 载 的 原因 分 本 

13.3.4 目 动 挂 载 autofs 所 

13.4 案例 演练 

13.5 重点 回顾 

13.6 本 章 习 题 

13.7 参考 数据 与 延伸 阅读 

13.8 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=114695 
13.1 NFS 的 由 来 与 其 功能 


NFS 这 个 类 由 网 络 分 享 文件 系统 的 服务 在 架设 的 时 候 是 很 简单 的 ， 不 
过 ， 它 最 大 的 

问题 在 于 了 权限 4 方面 的 概念 ! 因为 在 客户 端 与 服务 器 端 可 能 必须 要 
具备 相同 的 账号 


才能 够 存 取 某 些 目录 或 档案 。 另外 ，NFS 的 启动 需要 透 过 所 请 的 远程 
过 程 调用 (RPC)， 


也 就 是 说 ， 我 们 并 不 是 只 要 局 动 NFS 就 好 了 ， 还 需要 启动 RPC 这 个 
服务 才 行 啊 ! 
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NFS Server 
分 享 /home/sharefile! 目 儿 


NFS client 1 NFS client 2 


挂 六 /home/sharefie; 指正 % /home/sharefie; 
至 ”小 ome'data'sharefiley/ 至 /mntinfs'sharefile/ 


因此 ， 在 开始 进行 NFS 的 设 定之 前 ， 我 们 得 先 来 了 解 一 下 ， 什 么 是 
NFS 呢 ? 不 然 


讲 了 一 堆 也 没有 用 ， 对 吧 ! 入! 底下 就 来 谈 一 谈 什 么 是 NFS ， 且 
NFS 的 启动 还 需 


要 什么 样 的 协议 啊 ! 


13.1.1 什么 是 NFS (Network FileSystem) 


NFS 就 是 Network FileSystem 的 缩写 ， 最 早 之 前 是 由 Sun 这 家 公司 所 
发 展 出 来 


的 ( 往 1)。 它 最 大 的 功能 残 征 可 以 透 过 网 络 ， 主 不 同 的 机 夯 、 不 同 的 
操作 系统 、 可 以 


彼此 分 享 个 别 的 档案 (share files)。 所 以 ， 你 也 可 以 简单 的 将 他 看 做 是 
一 个 文件 服务 


丹 (file server) 呢 ! 这 个 NFS 服务 右 可 以 让 你 的 PC 来 将 网 络 远程 的 
NFS 服务 器 


分 享 的 目 孙 ， 挂 载 到 本 地 端的 机 器 当中 ， 在 本 地 端的 机 器 看 起 来 ， 那 
个 远程 主机 的 目 


了 永 束 好 像 羡 目 己 的 一 个 磁盘 分 区 槽 一 样 partition)! 使 用 上 面相 当 的 便 
利 ! 


图 13.1-1、NEFS 服务 器 分 享 日 录 与 Client 挂 载 示 意图 
就 如 同上 面 的 图 示 一 般 ， 当 我 们 的 NFS 服务 器 设 定好 了 分 享 出 来 的 


/home/sharefile 这 个 目录 后 ， 其 他 的 NFS 客户 端 就 可 以 将 这 个 目录 挂 载 
到 自己 系统 


上 面 的 某 个 挂 载 点 ( 挂 载 点 可 以 目 定义 )， 例 如 前 面 图 示 中 的 NFS client 
1 与 NFS 


client 2 挂 载 的 目 隶 束 不 相同 。 我 只 要 在 NFS client 1 系统 中 进入 


/home/data/sharefile 内 ， 就 可 以 看 到 NFS 服务 器 系 统 内 的 
/home/sharefile 目录 


下 的 所 有 数据 了 (当然 ， 权 限 要 足够 啊 ! 和信 )! 这 个 /home/data/sharefile 
束 好 像 NFS 


client 1 自己 机 器 里 面 的 一 个 partition 喔 ! 只 要 权限 对 了 ， 那 么 你 可 以 
使 用 cp, cd， 


mv rm.… 等 等 做 强 或 档案 相关 的 指令 ! 真是 他 X 的 方便 呐 ! 


好 的 ， 既 然 NFS 是 透 过 
的 socket 

pair 的 概念 你 会 知道 NFS 应 该 会 使 用 一 些 塌 口 吧 ? 那么 NFS 使 用 哪个 
塌 口 来 进行 传 

输 呢 ? 基本 上 NFS 这 个 服务 的 坊 口 开 在 2049 ， 但 是 由 于 文件 系统 非常 
复杂 ， 因 此 NFS 


还 有 其 他 的 程序 去 启动 额外 的 端口 口 ， 但 这 些 额 外 的 端口 口 启 动 的 号 


码 是 ? 答案 征 … 
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RPC (port 111 
操作 档案 系 ee | 1. 管理 本 机 的 Port 对 峰 
统 的 各 项 指 过 这 口 TLE! 2. 回报 用 访 馈 相关 堤 口 
全 钢 程 序 


之 本 属 动 时 就 向 RPC 址 研 
向 主机 传人 入 | 
NFS daemons 

1, 分 析 用 后 端 权 限 


2. 存 取 躺 案 系 统 


NFS client 


NFS server 


不 知道 ! @_@ ! 因为 预 设 NFS 用 来 传输 的 坦 口 是 随机 选择 小 于 1024 
以 下 的 塌 口 来 使 


用 的 。 喷 ! 那 客户 端 怎 么 知道 你 服务 事 问 使 用 那个 坦 口 啊 ? 此 时 就 得 
要 远程 过 程 调 用 


(Remote Procedure Call, RPC) 的 协议 来 辅助 啦 ! 底下 我 们 融 来 谈 谈 什么 
是 RPC? 


13.1.2 什么 是 RPC (Remote Procedure Call) 


NFS en 而 不 同 的 功能 都 会 使 用 不 同 的 程序 来 
自动 ， 每 局 


动 一 个 功能 吏 会 局 用 一 些 端口 口 来 传输 数据 ， 因 此 ，NFS 的 功能 所 对 
应 的 端口 口才 没 


有 固定 住 ， 而 是 随机 取 用 一 些 未 被 使 用 的 小 于 1024 的 坦 口 来 作为 传输 
之 用 。 但 如 此 


一 来 又 造成 客户 剖 想 要 连 上 服务 器 时 的 困扰 ， 因为 客 三 剖 得 要 知道 服 
务 器 端的 相关 卉 


口才 能 够 联机 吧 ! 


此 时 我 们 就 得 需要 远程 过 程 调用 (RPC) 的 服务 啦 ! RPC 最 主要 的 功能 
束 古 在 指定 


每 个 NFS 功能 所 对 应 的 port number ， 并 且 回 报 给 客户 端 ， 证 客户 端 可 
以 连结 到 正确 


的 起 口上 去 。 那 RPC 又 是 如 何 知道 每 个 NFS 的 塌 口 呢 ? 这 是 因为 当 
服务 器 在 启动 


NFS 时 会 随机 取 用 数 个 塌 口 ， 并 主动 的 同 RPC 注册 ， 因 此 RPC 可 以 知 
道 每 个 端口 口 对 


应 的 NFS 功能 ， 然 后 RPC 又 是 固定 使 用 port 111 来 监听 客户 端的 需求 
并 回报 客户 端 


正确 的 埋 口 ， 所 以 当然 可 以 让 NFS 的 局 动 更 为 轻松 愉快 了 ! 


Tips: 
所 以 你 要 注意 ， 要 启动 NFS 之 前 ，RPC 就 要 先 启 动 了 ， 和 否则 NFS 会 
无 法 向 RPC 注册 。 另外 ，RPC 若 重 新 局 动 时 ， 原 本 注册 的 数据 会 
不 见 ， 因 此 RPC 重新 启动 后 ， 它 管理 的 所 有 服务 都 需要 重新 启动 来 
重新 向 RPC 注册 。 

图 13.1-2、NFS 与 RPC 服务 及 文件 系统 操作 的 相关 性 


如 上 图 所 示 ， 当 客户 端 有 NFS 档案 存 取 和 需求 时 ， 他 会 如 何 向 服务 器 端 
要 求 数据 呢 ? 


1. I 的 RPC (port 111) 发 出 NFS 档案 存 取 功能 的 询 
问 


» 
求 . 
3 


. 服务 器 端 找 到 对 应 的 已 注册 的 NFS daemon 塌 口 后 ， 会 回报 给 客户 
靖 ; 
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O 
3. 客户 端 了 解 正确 的 塌 口 后 ， 就 可 以 直接 与 NFS daemon 来 联机 。 


由 于 NFS 的 各 项 功能 都 必须 要 向 RPC 来 注册 ， 如 此 一 来 RPC 才能 
解 NFS 这 个 


服务 的 各 项 功能 之 port number, PID, NFS 在 服务 器 所 监听 的 IP 等 等 ， 
而 客户 端 才 


能 够 透 过 RPC 的 询问 找到 正确 对 应 的 坊 口 。 也 就 是 说 ，NFS 必须 要 有 
RPC 存在 时 才 


能 成 功 的 提供 服务 ， 因 此 我 们 称 NFS 为 RPC server 的 一 种 。 事 实 上 ， 
有 很 多 这 样 的 


服务 句 都 是 问 RPC 注册 的 ， 举 例 来 说 ，NIS (Network Information 
Service) 也 是 RPC 


server 的 一 种 呢 。 此 外 ， 由 图 13.1-2 你 也 会 知道 ， 不 论 是 


务 器 端 ， 
使 用 NFS 时 ， 两 者 都 需要 启动 RPC 才 行 喔 ! 
更 多 的 NFS 相关 协议 信息 你 可 以 参考 底下 网 页 : 


0D RFC 1094, NFS 协议 解释 http://www.faqs.org/rfcs/rfc1094.html 


骑 
开 
i 
合 ; 
fi 
深 


0 Linux NFS-HOWTO: http:/www.tldp.org/HOWTO/NEFS- 
HOWTO/index.html 


13.1.3 NFS 启动 的 RPC daemons 


我 们 现在 知道 NFS 服务 器 在 局 动 的 时 候 束 得 要 向 RPC 注册 ， 所 以 NFS 
服务 占 也 


被 称 为 RPC server 之 一 。 那么 NFS 服务 器 主要 的 任务 是 进行 文件 系统 
的 分 孚 ;文件 


系统 的 分 享 则 与 权限 有 关 。 所 以 NFS 服务 器 启动 时 至 少 需要 两 个 


daemons ， 一 个 管 


理 客户 端 是 否 能 够 登入 的 问题 ， 一 个 管理 客户 端 能 够 取得 的 权限 。 如 
果 你 还 想 要 管理 


quota 的 话 ， 那 么 NFS 还 得 要 再 加 载 其 他 的 RPC 程序 就 是 了 。 我 们 以 
较 单 纯 的 NFS 服 


务 器 来 说 : 


DU rpc.nfsd: 


最 主要 的 NFS 服务 夯 服 务 提供 商 。 这 个 daemon 主要 的 功能 吏 是 在 管 
理 客户 端 


是 否 能 够 使 用 服务 器 文件 系统 挂 载 信息 等 ， 其 中 还 包含 这 个 登入 者 的 
ID 的 六 


别 喔 ! 


DL rpc.mountd 


这 个 daemon 主要 的 功能 ， 则 是 在 管理 NFS 的 文件 系统 哩 ! 当 客 刻 闻 
顺利 的 通 


Tpc.nfsd 而 登入 服务 器 之 后 ， 在 他 可 以 使 用 NFS 服务 顺 提 供 的 档案 
日 | ， 


会 经 过 档案 权限 (就 是 那个 -rwxrwxrwx 与 owner group 那儿 个 权限 


的 认证 程序 ! 他 会 去 读 NFS 的 配置 文件 /etc/exports 来 比 对 客户 端的 权 
限 ， 


当 通 过 这 一 关 之 后 客户 端 就 可 以 取得 使 用 NFS 档案 的 权限 啦 ! ( 注 : 这 
个 也 是 我 


们 用 来 管理 NFS 分 享 之 目录 的 权限 与 安全 设 定 的 地 方 哩 ! ) 
Drpc.lockd ( 非 必 要 ) 


个 玩意 儿 可 以 用 在 管理 档案 的 锁定 (lock) 用 途 。 为 何 档案 需要 『 锁 
定 」 呢 ? 


因为 既然 分 享 的 NFS 档案 可 以 让 客户 端 使 用 ， 那 么 当 多 个 客户 端 同时 
入 


某 个 档案 时 ， 吏 可 能 对 于 该 档案 造成 一 些 问 题 啦 ! 这 个 rpc.lockd 则 可 
以 用 来 
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0 


= Username' dmstsal | er |. 实际 答案 系 力 
hd th :home/sharetile 


UID: 501 


= 


JID, GID 参 晤 
ietc/passwd 
ietc/group 


1 
UID, GID 僚 昭 
/etc/passwd 


来 自 伺 服 圳 的 
home'data'sharefile 


/etc/ group 


NFS Client ] NFS Server 


克服 这 个 问题 。 但 rpc.lockd 必须 要 同时 在 客户 站 与 服务 右 冰 都 开局 才 
行 喔 ! 


此 外 ，zrpc.lockd 也 第 与 rpc.statd 同时 启用 。 
DO rpc.statd ( 非 必 要 ) 


可 以 用 来 检查 档案 的 一 致 性 ， 与 rpc.lockd 有 关 ! 大 发 生 因 为 客户 端 同 
时 使 用 

同一 档案 造成 档案 可 能 有 所 损毁 时 ， rpc.statd 可 以 用 来 检测 并 尝试 回 
复 该 档 


案 。 与 rpclockd 同样 的 ， 这 个 功能 必须 要 在 服务 器 端 与 客户 端 都 启动 
才 会 生 


Zr 
泛 
S 


上 述 这 几 个 RPC 所 需要 的 程序 ， 其 实 都 已 经 写 入 到 两 个 基本 的 服务 启 
动 脚 本 中 了 ， 


那 束 是 nfs 以 及 nfslock 史 ! 亦 即 是 在 /etc/init.d/nfs, /etcwinit.d/nfslock， 


与 服务 絮 较 有 关 的 写 入 在 nfs 服务 中 ， 而 与 客户 端的 rpc.lockd 之 类 
的 ， 就 设 定 于 


nfslock 服务 中 。 
13.1.4 NFS 的 档案 访问 权限 


不 知道 你 有 没有 想 过 这 个 问题 ， 在 图 13.1-1 的 环境 下 ， 假 如 我 在 NFS 
client1 上 


面 以 dmtsai 这 个 使 用 者 身 份 想 要 去 存 取 /home/data/sharefile/ 这 个 来 目 
NFS 


server 所 提供 的 文件 系统 时 ， 请 问 NFS server 所 提供 的 文件 系统 会 让 
我 以 什么 喘 份 


去 存 取 ? 是 dmtsai 还 是 ? 


为 什么 会 这 么 问 呢 ? 这 是 因为 NFS 本 身 的 服务 并 没有 进行 身份 登入 的 
识别 ， 所 以 


说 ， 当 你 在 客户 端 以 dmtsai 的 喘 份 想 要 存 取 服务 事端 的 文件 系统 时 ， 
服务 句 端 会 以 
这 时 有 个 有 趣 的 


问题 束 产 生 啦 ! 那 束 是 如 果 客 户 端 与 服务 如 端的 使 用 着 号 份 并 不 一 致 
怎么 办 ? 我 们 以 


座 下 这 个 图 示 来 说 明 一 下 好 了 : 
图 13.1-3、NFS 的 服务 硕 端 与 客户 疹 的 使 用 者 号 份 确认 机 制 
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当 我 以 dmtsai 这 个 一 般 身 份 使 用 者 要 去 存 取 来 自 服务 器 端的 档案 时 ， 
你 要 先 注意 


“0 inode 所 记录 的 属性 为 UID, GID 而 非 账号 与 群 组 
名 。 那 一 般 


Linux 主机 会 主动 的 以 目 己 的 /etc/passwd, /etc/group 来 查询 对 应 的 使 用 
者 、 组 名 。 


所 以 当 dmtsai 进入 到 该 目录 后 ， 会 参照 NFS client 1 的 使 用 者 与 组 名 。 
但 是 由 于 


该 目 孙 的 档案 主要 来 和 日 NFS server ， 所 以 可 能 就 会 发 现 几 个 情况: 
ODNEFS server/NFS client 刚好 有 相同 的 账号 与 群 组 


, 0 者 可 以 直接 以 dmtsai 的 号 份 进 行 服务 器 所 提供 的 文件 系统 
年 取 。 


NFS server 的 501 这 个 UID 账号 对 应 为 vbird 


若 NFS 服务 器 上 的 /etc/passwd 里 面 UID 501 的 使 用 者 名 称 为 vbird 
时 ， 


则 客户 端的 dmtsai 可 以 存 取 服务 占 病 的 vbird 这 个 使 用 着 的 档案 喔 ! 只 
因为 


两 关上 共有 相同 的 UID 而 已 。 这 殉 造 成 很 大 的 问题 了 ! 因为 没有 人 可 以 
保证 客户 


端的 UID 所 对 应 的 账号 会 与 服务 硕 端 相同 ， 那 服务 右 所 提供 的 数据 不 
束 可 能 会 


被 销 误 的 使 用 者 乱 改 ? 
ODNEFS server 并 没有 501 这 个 UID 


另 一 个 极端 的 情况 是 ， 在 服务 右 端 并 没有 501 这 个 UID 的 存在 ， 则 此 
时 dmtsai 


的 号 份 在 该 目 孙 下 会 被 压缩 成 匿名 者 ， 一般 NFS 的 匿名 者 会 以 UID 为 
65534 


为 其 使 用 者 ， 早 期 的 Linux distributions 这 个 65534 的 账号 名 称 通常 是 


nobody ， 我 们 的 CentOS 则 取 名 为 nfsnobody 。 但 有 时 也 会 有 特殊 的 情 
况 ， 例 


如 在 服务 句 端 分 享 /imp 的 情况 下 ， dmtsain 的 身份 还 是 会 保持 501 但 
建立 的 


各 项 数据 在 服务 做 端 来 看 ， 束 会 属于 无 拥有 着 的 和 资料。 
0 如 采 使 用 者 号 份 是 root 时 
有 个 比较 特殊 的 使 用 者 ， 那 就 是 每 个 Linux 主机 都 有 的 UID 为 0 的 


root ° 


想 一 想 ， 如 果 客 户 闻 可 以 用 root 的 号 份 去 存 取 服 务 器 端的 文件 系统 
时 ， 那 服务 


堪 问 的 数据 哪 有 什么 保护 性 ” 所 以 在 预 设 的 情况 下 ， root 的 映 份 会 个 
主动 的 


压缩 成 为 匿名 肴 。 


总 之 ， 客 刻 问 使 用 者 能 做 的 事情 是 与 UID 及 其 GID 有 关 的 ， 那 当 客户 
端 与 服务 天 


端的 UID 及 账号 的 对 应 不 一 致 时 ， 可 能 网 会 造成 文件 系统 使 用 上 的 
扰 ， 这 个 束 古 


NFS 文件 系统 在 使 用 上 面 的 一 个 很 重要 的 地 方 ! 而 在 了 解 使 用 者 账号 
与 UID 及 文件 系 


统 的 关系 之 后 ， 要 实际 在 客户 端 以 NFS 取 用 服务 句 端 的 文件 系统 时 ， 
你 还 得 需要 具有 : 


ODNEFS 服务 器 有 开放 可 写 入 的 权限 (与 /etc/exports 设 定 有 天 ); 
0 实际 的 档案 权限 具有 可 写 入 (w) 的 权限 。 


当 你 满足 了 (1) 使 用 者 账号 ， 亦 即 UID 的 相关 身份 ; (2)NFS 服务 器 允 
许 有 写 入 


的 权限 ;，(3) 文 件 系统 确实 具有 w 的 权限 时 ， 你 才 具 有 该 档案 的 可 写 入 
权限 喔 ! 尤其 


是 身份 (UID) 确认 的 环节 部 分 ， 最 容易 摘 错 啦 ! 也 因为 如 此 ， 所 以 
NFS 通常 需要 与 


NIS (十 四 章 ) 这 一 个 可 以 确认 客户 端 与 服务 器 端 喘 份 一 致 的 服务 搭配 使 
用 ， 以 避免 号 


份 的 错乱 啊 ! 和信 
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Tips: 

老实 说 ， 这 个 小 市 的 数据 比较 难 慌 一 尤其 是 刚刚 接触 到 NFS server 
的 朋友 。 因 此 ， 你 可 以 先 略 过 13.1.4 这 个 小 节 。 但 是 ， 在 你 读 完 
与 做 完 本 章 后 续 所 有 的 实 作 之 后 ， 记 得 回 到 这 个 小 节 来 再 查阅 一 次 
文章 内 容 ， 相 信 会 有 进一步 的 认识 的 ! 

13.2 NFS Server 端的 设 定 


NFS 的 话 ， 就 得 要 安装 NFS 所 需要 的 软件 了 ! 底下 让 我 们 
查询 一 下 系 


统 有 无 安装 所 需要 的 软件 ，NFS 软件 的 架构 以 及 如 何 设 定 NFS 服务 句 
吧 ! 入 信 


13.2.1 所 需要 的 软件 


。 CentOS 6.x 为 例 的 话 ， 要 设 定好 NFS 服务 器 我 们 必须 要 有 两 个 软件 
行 , 分 


DRPC 主 程序 : rpcbind 


束 如 同 刚刚 提 的 到 ， 我 们 的 NFS 其 实 可 以 被 视 为 一 个 RPC 服务 ， 而 要 
局 动 任何 


一 个 RPC 服务 之 前 ， 我 们 都 需要 做 好 port 的 对 应 (mapping) 的 工作 才 
行 ; 这 


个 工作 其 实 就 是 『 rpcbind 4 这 个 服务 所 人 负 贡 的 ! 也 束 是 说 ， 在 局 动 
任何 一 个 


RPC 服务 之 前 ， 我 们 都 需要 启动 rpcbind 才 行 ! (在 CentOS 5.x 以 前 这 
人 


件 称 为 portmap， 在 CentOS 6.x 之 后 才 称 为 rpcbind 的 ! ) 
0 NFS 主 程序 : nfs-utils 


束 是 提供 rpc.nfsd 及 rpc.mountd 这 两 个 NFS daemons 与 其 他 相关 


documents 与 说 明文 件 、 执 行文 件 等 的 软件 ! 这 个 束 古 NFS 服务 所 需 
要 的 主要 


软件 啦 ! 一 定 要 有 喔 ! 


好 了 ， 知 道 我 们 需要 这 两 个 软件 之 后 ， 现 在 干 嘛 ? 赶快 去 你 的 系统 
用 RPM 看 一 


下 有 没有 这 两 个 软件 啦 ! 没有 的 话 赶快 用 RPM 或 yum 去 安 半 喔 ! 不 
然 束 玩 不 下 去 了 | 


例题 : 
请 问 我 的 主机 是 以 RPM 为 套件 管理 的 Linux distribution ， 例 如 Red 
Hat, CentOS 与 SuSE 等 版 本 ， 那 么 我 要 如 何 知 道 我 的 主机 里 面 是 否 已 


经 安装 
了 rpcbind 与 nfs 相关 的 软件 呢 ? 


D2 


喇 : 


简单 的 使 用 『 rpm -qa | grep nfs J 与 了 rpm -ga| grep rpcbind J 
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必 

必 


即 可 知道 啦 ! 如 果 没 有 安装 的 话 ， 在 CentOS 内 可 以 使 用 『 yum install 
nfs-utils 4 来 安装 | 


13.2.2 NFS 的 软件 结构 


这 个 喀 喀 真 的 十 很 合 单 ， 上 面 我 们 提 到 的 NFS 软件 中 ， 配 置 文件 
具有 一 


执行 档 也 不 多 ， 记录 文件 也 三 三 两 两 而 已 呐 ! 赶紧 先 来 看 一 看 吧 ! 
和 人 和 


0 主要 配置 文件 : /etc/exports 


这 个 档案 束 是 NFS 的 主要 配置 文件 了 ! 不 过 ， 系 统 并 没有 默认 值 ， 所 
以 这 个 档 


案 『 人 ， 你 可 能 必须 要 使 用 vim 主动 的 建立 起 这 个 档案 
喔 ! 我 们 


等 一 下 要 谈 的 设 定 也 仅 只 是 这 个 档案 而 已 呐 ! 
D0 NFS 文件 系统 维护 指令 : /usr/sbin/exportfs 
这 个 是 维护 NFS 分 享 资 源 的 指令 ， 我 们 可 以 利用 这 个 指令 重新 分 享 


/etc/exports 变更 的 目录 资源 、 将 NFS Server 分 享 的 目录 乞 除 或 重新 分 
言 後 


等 ， 这 个 指令 是 NFS 系统 里 面相 当 重 要 的 一 个 喔 ! 至 于 指令 的 用 法 我 
们 在 底下 


Zs 

DD 分享 资源 的 登录 档 : /var/lib/nfs/*tab 

在 NFS 服务 器 的 登录 文件 都 放置 到 /var/lib/nfs/ 日 录 里 面 ， 在 该 日 录 下 
个 比较 重要 的 登录 档 ， 一 个 是 etab ， 主 要 记录 了 NFS 所 分 享 出 来 的 
目录 的 完 


整 权 限 设 定 值 ， 另 一 个 xtab 则 记录 曾经 链接 到 此 NFS 服务 器 的 相关 
客户 端 数 


据 。 
0D 客户 端 查询 服务 器 分 享 资源 的 指令 : /usrsbin/showmount 


这 是 另 一 个 重要 的 NFS 指令 。exportfs 是 用 在 NFS Server 端 ， 而 
showmount 


则 主要 用 在 Client 端 。 这 个 showmount 可 以 用 来 察看 NFS 分 享 出 来 的 
日 好 资 


产 喔 ! 
束 说 不 难 吧 ! 主要 束 是 这 几 个 哆 ! 
13.2.3 /etc/exports 配置 文件 的 语法 与 参数 


在 开始 NFS 服务 絮 的 设 定之 前 ， 你 必须 要 了 解 的 是 ，NFS 会 直接 使 用 
到 核心 功能 ， 


所 以 你 的 核心 必须 要 有 支持 NFS 才 行 。 万 一 如 果 你 的 核心 版 本 小 于 
2.2 版 ， 或 者 重新 

自行 编译 过 核心 的 话 ， 那 么 就 得 要 很 注意 啦 ! 因为 你 可 能 会 忘记 选择 
NFS 的 核心 文 持 


呵 ! 
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还 好 ， 我 们 CentOS 或 者 是 其 他 版 本 的 Linux ， 预 设 核心 通常 是 文 持 
NFS 功能 的 ， 


所 以 你 只 要 确认 你 的 核心 版 本 是 目前 新 的 2.6.x 版 ， 并 且 使 用 你 的 
distribution 所 


提供 的 核心 ， 那 应 该 就 不 会 有 问题 啦 

Tips: 

上 面 会 提醒 您 这 个 问题 的 原因 是 ， 以 前 乌 哥 都 很 喜欢 目 行 编译 一 个 
寺 别 的 核心 ， 

但 是 某 次 编译 核心 时 ， 

却 忘 记 加 上 了 NFS 的 核心 功能 ， 

结果 NFS server 无 论 如 何 也 搞 不 起 来 一 最 后 才 想 到 原来 俺 的 核心 
是 非 正规 的 … 


至 于 NFS 服务 句 的 架设 实在 很 简单 ， 你 只 要 编辑 好 主要 配置 文件 
/etc/exports 之 后 ， 


先 启 动 rpcbind ( 若 已 经 启动 了 ， 就 不 要 重新 启动 )， 然 后 再 启动 nfs ， 
你 的 NFS 就 


成 功 了 ! 不 过 这 样 的 设 定 能 否 对 客户 端 生效 ? 那 束 得 要 考虑 你 权限 方 
面 的 设 定 能 力 了 。 


废话 少 说 ， 我 们 束 直 接 来 看 看 那个 /etc/exports 应 该 如 何 设 定 吧 ! 某 些 


distributions 并 不 会 主动 提供 /etc/exports 档案 ， 所 以 请 你 目 行 手动 建立 
它 吧 。 


[root@www ~]# vim /etc/exports 

/tmp 192.168.100.0/24(ro) localhost(rw) 
*.ev.ncku.edu.tw(ro,synoc) 

[分 圣 目 好] [第 一 部 主机 (权限 )] [可 用 主机 名 ] [可 用 通配符 ] 


你 看 看 ， 这 个 配置 文件 有 够 催 单 吧 ! 每 一 行 最 前 面 古 要 分 至 出 来 的 目 
录 ， 注 意 喔 ! 是 以 


目 孙 为 单位 啊 ! 然后 这 个 目录 可 以 依照 不 同 的 权限 分 圣 给 不 同 的 主 
机 ， 像 乌 哥 上 面 的 


例子 说 明 是 : 要 将 /tmp 分 别 分 译 给 三 个 不 同 的 主机 或 网 域 的 意思 。 
记得 主机 后 面 以 


小 括号 0 设计 权限 参数 ， 大 权限 参数 不 止 一 个 时 ， 则 以 逗号 (,) 分 
开 。 且 主机 名 与 


小 括号 是 连 在 一 起 的 喔 ! 在 这 个 档案 内 也 可 以 利用 # 来 批注 呢 。 
至 于 主机 名 的 设 定 主要 有 几 个 方式 : 

0 可 以 使 用 完整 的 瑟 或 者 是 网 域 ， 例 如 192.168.100.10 或 
192.168.100.0/24 ， 或 192.168.100.0/255.255.255.0 都 可 以 接受 ! 


D 也 可 以 使 用 主机 名， 但 这 个 主机 名 必须 要 在 /etc/hosts 内 ， 或 可 使 用 
DNS 


找到 该 名 称 才 行 啊 ! 反正 重点 是 可 找到 IP 就 是 了 。 如 有 果 是 主机 名 的 
话 ， 那 么 他 


可 以 支持 通配符 ， 例 如 * 或 ? 均 可 接受 。 

至 于 权限 方面 ( 束 古 小 括号 内 的 参数 ) 第 见 的 参数 则 有 : 
参数 值 

内 容 说 明 

该 目录 分 至 的 权限 古 可 擦 写 (read-write) 或 只 读 


TW 
(read-only)， 但 最 终 能 不 能 读 写 ， 还 是 与 文件 系统 的 rwx 及 续 
TO 

份 有 关 。 
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sync 


sync 代表 数据 会 同步 写 入 到 内 存 与 硬盘 中 ，async 则 代表 数据 会 


async 
先 暂 存 于 内 存 当 中 ， 而 非 直接 写 入 硬盘 ! 

客户 端 使 用 NFS 文件 系统 的 账号 者 为 root 时 ， 系 统 该 如 何 判断 
这 个 账号 的 喘 份 ? 预 设 的 情况 下 ， 客 户 端 root 的 吴 份 会 由 


no_root squash root_squash 的 设 定 压缩 成 nfsnobody， 如 此 对 服务 器 的 


NSS 


Ot: squash 较 有 保障 。 但 如 果 你 想 要 开放 客户 端 使 用 root 吴 份 来 操作 


务 

铬 的 文件 系统 ， 那 么 这 里 就 得 要 开 no_root_squash 才 行 ! 

不 论 登 入 NFS 的 使 用 者 身份 为 何 ， 他 的 号 份 都 会 被 压缩 成 为 匿 
all_squash 

名 用 户 ， 通 常 也 天 是 nobody(nfsnobody) 啦 ! 

anon 意 指 anonymous (匿名 者 ) 前 面 天 于 *_squash 提 到 的 匿 

名 用 户 的 UID 设 定 值 ， 通 常 为 nobody(nfsnobody)， 但 是 你 可 以 
anonuid 

目 行 设 定 这 个 UID 的 值 ! 当然 ， 这 个 UID 必需 要 存在 于 你 的 
anongid 

/etc/passwd 当中 ! anonuid 指 的 是 UID 而 anongid 则 十 群 组 

的 GID 吧 。 


这 征 几 个 比较 香 见 的 权限 参数 ， 如 有 果 你 有 兴趣 玩 其 他 的 参数 时 ， 请 目 


行 man exports 可 


以 发 现 很 多 有 趣 的 数据 。 接 下 来 我 们 利用 上 述 的 几 个 参数 来 实际 思考 
一 下 几 个 有 趣 的 


小 习题 ; 
例题 一 :让 root 保有 root 的 权限 


我 想 将 /tmp 分 至 出 去 给 大 家 使 用 ， 由 于 这 个 目录 本 来 整 古 大 家 都 可 以 
读 写 的 ， 


因此 想 让 所 有 的 人 都 可 以 存 取 。 此 外 ， 我 要 让 root 写 入 的 档案 还 是 具 
有 root 的 


权限 ， 那 如 何 设计 配置 文件 ? 


[root@www ~]# vim /etc/exports 


# 任 何人 都 可 以 用 我 的 /tmp ， 用 通配符 来 处 理 主机 名 ， 重 点 在 


no_root_squash 
/tmp *(rw,no_root_squash) 


主机 名 可 以 使 用 通配符 ， 上 头 表示 无 论 来 日 哪里 都 可 以 使 用 我 的 /mp 


J 


再 次 提醒 ， 『 *(rw,no_root_squash) 4 这 一 串 设 定 值 中 间 是 没有 空格 符 
的 喔 ! 而 


/tmp 与 *(rw,no_root_squash) 则 是 有 空格 符 来 隔 开 的 ! 特别 注意 到 那个 


no_root squash 的 功能 ! 在 这 个 例子 中 ， 如 果 你 是 客户 端 ， 而 且 你 是 
以 root 的 号 


份 登入 你 的 Linux 主机 ， 那 么 当 你 mount 上 我 这 部 主机 的 /tmp 之 后 ， 
你 在 该 


mount 的 目录 当中 ， 将 具有 『root 的 权限 ! ] 
例题 二 : 同一 目 孙 针对 不 同 范 围 开 放 不 同 权限 


我 要 将 一 个 公共 的 目录 /home/public 公开 出 去 ， 但 是 只 有 限定 我 的 局 
域 网 络 


192.168.100.0/24 这 个 网 域 且 加 入 vbirdgroup (第 一 章 的 例题 建立 的 群 
组 ) 的 用 


户 才能 够 读 写 ， 其 他 来 源 则 只 能 读 取 。 


渡 
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[root@www ~]# mkdir /home/public 

[root@www ~]# setfacl -m g:vbirdgroup:rwx /home/public 
[root@www ~]# vim /etc/exports 

/tmp *(rw,no_root_squash) 

/home/public 192.168.100.0/24(rw) *(ro) 


继续 素 加 在 后 面 ， 注 意 ， 我 有 将 主机 与 网 域 分 为 两 段 (用 空白 隔 开 ) 
咀 ! 


上 面 的 例子 说 的 是 ， 当 我 的 IP 是 在 192.168.100.0/24 这 个 网 段 的 时 
候 ， 那 么 当 


我 在 Client 端 挂 载 了 Server 端的 /home/public 后 ， 针 对 这 个 被 我 挂 载 
时 目录 


我 天 具有 可 以 读 写 的 权限 一 至 于 如 采 我 不 是 在 这 个 网 段 之 内 ， 那 么 这 
个 目录 的 数据 


我 束 仅 能 读 取 而 已 ， 亦 即 为 只 读 的 属性 啦 ! 
需要 注意 的 是 ， 通 配 符 仅 能 用 在 主机 名 的 分 辨 上 上 面 ，IP 或 网 段 束 只 能 
用 


192.168.100.0/24 的 状况 ， 不 可 以 使 用 192.168.100.* 喔 ! 
例题 三 : 仅 给 某 个 单一 主机 使 用 的 目录 设 定 


我 要 将 一 个 私人 的 目录 homey/test 开放 给 192.168.100.10 这 个 Client 端 


的 机 右 来 使 用 时 ， 该 如 何 设 定 ? 假设 使 用 者 的 身份 是 dmtsai 才 具 有 完 
整 的 权限 时 。 


答 : 

[rootOwww ~]# mkdir /home/test 

[root@www ~]# setfacl -m u:dmtsai:rwx /home/test 
[root@www ~]# vim /etc/exports 

/tmp *(rw,no_root_squash) 

/home/public 192.168.100.0/24(rw) *(ro) 
/home/test 192.168.100.10(rw) 

# 只 要 设 定 IP 正确 即 可 ! 


这 样 就 设 定 完成 了 ! 而 且 ， 只 有 192.168.100.10 这 部 机 器 才能 对 
/home/test 这 


个 目 孙 进行 存 取 喔 ! 
例题 四 : 开放 匿名 登录 的 情况 
我 要 让 *.centos.vbird 网 域 的 主机 ， 登 入 我 的 NEFS 主机 时 ， 可 以 存 取 


/home/linux ， 但 是 他 们 存 数 据 的 时 候 ， 我 希望 他 们 的 UID 与 GID 都 
变 成 45 这 


个 身份 的 使 用 者 ， 假 设 我 NFS 服务 右上 的 UID 45 与 GID 45 的 用 户 / 
组 名 为 


nfsanon ° 


从  . 


及，… 


[root@www ~]# groupadd -g 45 nfsanon 

[root@www ~]# useradd -u 45 -g nfsanon nfsanon 

[root@www ~]# mkdir /home/linux 

[root@www ~]# setfacl -m u:nfsanon:rwx /home/linux 

[root@www ~]# vim /etc/exports 

/tmp *(rw,no_root_squash) 
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/home/public 192.168.100.0/24(rw) *(ro) 

/home/test 192.168.100.10(rw) 

/home/linux *.centos.vbird(rw,all_squash,anonuid=45,anongid=45) 

# 如 果 要 开放 匿名 ， 那 么 重点 是 all_squash， 并 且 要 配合 anonuid 喔 ! 
特别 注意 到 那个 all_squash 与 anonuid, anongid 的 功能 ! 如 此 一 来 ， 当 


clientlinux.centos.vbird 登入 这 部 NFS 主机， 并 且 在 /home/linux 写 入 档 


和 


上 时， 该 档案 的 所 有 人 与 所 有 群 组 ， 就 会 变 成 /etc/passwd 里 面 对 应 的 
UID 为 45 的 


那个 身份 的 使 用 者 了 ! 
上 面 四 个 案例 的 权限 如 果 依 照 13.1.4 存 取 设 定 权 限 来 思考 的 话 ， 那么 


权限 会 是 
什么 情况 呢 ? 让 我 们 来 检查 一 下 : 
0 


客户 端 与 服务 郁 端 具有 相同 的 UID 与 账号 : 


假设 我 在 192.168.100.10 登入 这 部 NFS (IP 假设 为 192.168.100.254) 服 
Dae 
廓 镶 ， 


并 且 我 在 192.168.100.10 的 账号 为 dmtsai 这 个 身份 ， 同 时 ， 在 这 音 
NFS 上 面 也 有 


dmtsai 这 个 账号 ， 并 具有 相同 的 UID ， 采 真如 此 的 话 ， 那 么 : 


1. 由 于 192.168.100.254 这 部 NFS 服务 器 的 /tmp 权限 为 -rwxrwxrwt ， 
所 

以 我 (dmtsai 在 192.168.100.10 上 面 ) 在 /tmp 底下 具有 存 取 的 权限 ， 并 
且 


写 入 的 档案 所 有 人 为 dmtsai ; 


2. 在 /home/public 当中 ， 由 于 我 有 读 写 的 权限 ， 所 以 如 果 在 
/home/public 


这 个 目录 的 权限 对 于 dmtsai 有 开放 写 入 的 话 ， 那 么 我 束 可 以 读 写 ， 并 
且 我 写 入 


的 档案 所 有 人 是 dmtsai 。 但 是 万 一 /home/public 对 于 dmtsai 这 个 使 用 
者 并 


没有 开放 可 以 写 入 的 权限 时 ， 那么 我 还 是 没有 办 法 写 入 档案 喔 ! 这 点 
请 特别 留 


音 | 
一 
/DA 


3. 在 home/test 当中 ， 我 的 权限 与 home/public 相同 的 状态 ! 还 需要 
NES 


服务 器 的 home/test 对 于 dmtsai 有 开放 权限 ; 


4. 在 /home/linux 当中 束 比 较 抹 烦 ! 因为 不 论 你 是 何 种 user ， 你 的 号 份 


定 会 被 变 成 UID=45 这 个 账号 ! 所 以 ， 这 个 目录 就 必需 要 针对 UID = 
45 的 那个 


账号 名 称 ， 修 改 他 的 权限 才 行 ! 


客户 端 与 服务 器 端的 账号 并 未 相同 时 : 
假如 我 在 192.168.100.10 的 吴 份 为 vbird (uid 为 600)， 但 是 


192.168.100.254 这 部 NFS 主机 却 没有 uid=600 的 账号 时 ， 情 况 会 变 成 
怎样 呢 ? 
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1. 我 在 /tmp 底下 还 是 可 以 写 入 ， 只 古 该 档案 的 权限 会 保持 为 UID=600 


此 服务 句 端 看 起 来 训 会 怪 怪 的 ， 因为 找 不 到 UID=600 这 个 账号 的 显 
示 ， 故 档案 


拥有 者 会 填 上 600 味 1! 


2. 我 在 home/public 里 面 是 否 可 以 写 入 ， 还 需要 视 /home/public 的 权 
限 而 


定 ， 不 过 ， 由 于 没有 加 上 all_squash 的 参数 ， 因此 在 该 目录 下 会 保留 
客户 端 


的 使 用 者 UID， 同 上 一 点 所 示 。 


3. /home/test 的 观点 与 /home/public 相同 ! 


4. /home/linux 底下 ， 我 的 号 份 就 被 变 成 UID = 45 那个 使 用 者 就 是 了 ! 
UD 
当 客户 端的 号 份 为 root 时 : 


假如 我 在 192.168.100.10 的 身份 为 root 呢 ? root 这 个 账号 每 个 系统 都 
会 有 


呀 ! 权限 变 成 怎样 呢 ? 


1. 我 在 /tmp 里 面 可 以 写 入 ， 并 且 由 于 no_root_squash 的 参数 ， 改 变 了 
预 设 


的 root_squash 设 定 值 ， 所 以 在 /tmp 写 入 的 档案 所 有 人 为 root 喔 ! 


2. 我 在 /home/public 底下 的 身份 还 是 被 压缩 成 为 nobody 了 ! 因为 默认 
属性 


里 面 都 具有 root_squash 呢 ! 所 以 ， 如 采 /home/public 有 针对 nobody 
开放 


写 入 权限 时 ， 那 么 我 惑 可 以 写 入 ， 但 是 档案 所 有 人 变 成 nobody 束 是 
丁 .| 


3. /homey/test 与 home/public 相同 
4. home/linux 的 情况 中 ， 我 root 的 身份 也 被 压缩 成 为 UID = 45 的 那个 
使 


用 者 了 | 


这 样 的 权限 讲解 之 后 ， 你 可 以 了 解 了 吗 ? 这 里 是 最 重要 的 地 方 ， 如 果 
这 一 关 通 过 了 ， 


底下 的 吃 吃 就 没有 问题 啦 ! 和 人 人! 在 你 将 本 文 读 完 后 ， 最 好 还 是 回 到 
13.1.4 NFS 的 


当 案 访 囊 瞧 一 瞧 ， 才能 解决 NFS 的 问题 喔 ! 
13.2.4 启动 NFS 


配置 文件 搞定 后 ， 当 然 要 开始 来 启动 才 行 啊 ! 而 前 面 我 们 也 提 到 过 ， 
NFS 的 启动 还 


需要 rpcbind 的 协助 才 行 啊 ! 所 以 赶紧 来 启动 吧 ! 
[root@www ~ |]# /etc/init.d/rpcbind start 

# 如 果 rpcbind 本 来 就 已 经 在 执行 了 ， 那 束 不 需要 启动 啊 ! 
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[root@www ~]# /etc/init.d/nfs start 

# 有 了 时候 某 些 distributions 可 能 会 出 现 如 下 的 警告 讯 妃 : 
exportfs: /etc/exports [3]: No 'Sync' or 'async' option specified 
for export "192.168.100.10:/home/test". 


Assuming default behaviour ('sync'). 


# 上 面 的 警告 讯 居 仪 是 在 告知 因为 我 们 没有 指定 sync 或 async 的 参 
数 ， 


# 则 NFS 将 默认 会 使 用 sync 的 信息 而 已 。 你 可 以 不 理 他 ， 也 可 以 加 入 
/etc/exports ° 

[root@www ~]# /etc/init.d/nfslock start 

[root@www ~]# chkconfig rpcbind on 

[root@www ~]# chkconfig nfs on 


[root@www ~]# chkconfig nfslock on 


那个 rpcbind 根本 束 不 需要 设 定 ! 只 要 直接 局 动 它 束 可 以 啦 ! 局 动 之 
局 


port 111 的 sunrpc 的 服务 ， 那 束 是 rpcbind 啦 ! 至 于 nfs 则 会 启动 至 少 
两 个 以 上 


的 daemon 出 现 ! 然后 就 开始 在 监 昕 Client 端的 需求 啦 ! 你 必须 要 很 
注意 屏幕 上 面 的 


输出 信息 ， 因 为 如 果 配 置 文件 写 错 的 话 ， 屏 幕 上 会 显示 出 错误 的 地 方 
喔 | 


此 外 ， 如 有 果 你 想 要 增加 一 些 NFS 服务 右 的 数据 一 致 性 功能 时 ， 可 能 需 
要 用 到 


rpc.lockd 及 rpc.statd 等 RPC 服务 ， 那 么 或 许 你 可 以 增加 一 个 服务 ， 
那 就 古 


nfslock 哆 ! 启动 之 后 ， 请 赶快 到 /var/log/messages 里 面 看 看 有 没有 被 
正确 的 启动 


呢 ? 


[root@www ~]# tail /var/log/messages 


Jul 27 17:10:39 www kernel: Installing knfsd (copyright (C) 1996 
okir@monad.swb.de). 


Jul 27 17:10:54 www kernel: NFSD: Using /var/lib/nfs/vArecovery as the 
NFSvV4 state 


recovery directory 
Jul 27 17:10:54 www kernel: NFSD: starting 90-second grace period 


Jul 27 17:11:32 www rpc.statd[3689]: Version 1.2.2 starting 


人 问题 之 后 ， 接 下 来 我 们 来 瞧 一 瞧 那 么 NFS 到 撒 开 了 哪 
些 塌 口 ? 


[root@www ~]# netstat -tulnp| grep -E '(rpclnfs)' 
Active Internet connections (only servers) 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:875 0.0.0.0:* LISTEN 
3631/rpc.rquotad 

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 
3601/rpcbind 

tcp 0 0 0.0.0.0:48470 0.0.0.0:* LISTEN 
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3647/rpc.mountd 

tcp 0 0 0.0.0.0:59967 0.0.0.0:* LISTEN 
3689/rpc.statd 

tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN - 

udp 0 0 0.0.0.0:875 0.0.0.0:* 

3631/rpc.rquotad 

udp 0 0 0.0.0.0:111 0.0.0.0:* 


3601/rpcbind 


udp 0 0 0.0.0.0:897 0.0.0.0:* 
3689/rpc.statd 

udp 0 0 0.0.0.0:46611 0.0.0.0:* 
3647/rpc.mountd 

udp 0 0 0.0.0.0:808 0.0.0.0:* 
3601/rpcbind 

udp 0 0 0.0.0.0:46011 0.0.0.0:* 
3689/rpc.statd 


注意 看 到 上 面 喔 ! 总 共产 生 了 好 多 的 port 喔 ! 真是 可 怕 ! 不 过 主要 的 
井口 是 : 


Drpcbind 启动 的 port 在 111 ， 同 时 启动 在 UDP 与 TCP; 

Dnfs 本 吴 的 服务 启动 在 port 2049 上 头 ! 

DD 其 他 rpc.* 服务 启动 的 port 则 是 随机 产生 的 ， 因 此 需 癌 port 111 注 
册 o 


好 了 ， 那 我 怎么 知道 每 个 RPC 服务 的 注册 状况 ? 没关系 ， 你 可 以 使 用 
rpcinfo 来 


观察 的 。 

[root@www ~]# rpcinfo -p [IPlhostnamel] 
[root@www ~]# rpcinfo -tl-u IP|hostname 程序 名 称 
选项 与 参数 : 


-p : 针对 某 IP (未 写 则 预 设 为 本 机 ) 显示 出 所 有 的 port 与 porgram 的 信 


自 . 


/JU 


-t : 针对 某 主 机 的 某 文 程序 检查 其 TCP 封包 所 在 的 软件 版 本 ; 
-u : 针对 某 主 机 的 某 支 程序 检查 其 UDP 封包 所 在 的 软件 版 本 ; 


#1. 显示 出 目前 这 部 主机 的 RPC 状态 


[root@www ~]# rpcinfo -p localhost 
program vers proto port service 
100000 4 tcp 111 portmapper 
100000 3 tcp 111 portmapper 
100000 2 tcp 111 portmapper 
100000 4 udp 111 portmapper 
100000 3 udp 111 portmapper 
100000 2 udp 111 portmapper 
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避 

100011 1 udp 875 rquotad 
100011 2 udp 875 rquotad 
100011 1 tcp 875 rquotad 
100011 2 tcp 875 rquotad 
100003 2 tcp 2049 nfs 


os( 属 下 和 省略 ).， 


# 程序 代号 NFS 版 本 封包 类 型 塌 口 服务 名 称 
# 2. 针对 nfs 这 个 程序 检查 其 相关 的 软件 版 本 信息 ( 仅 察看 TCP 封包 ) 


[root@www ~]# rpcinfo -t localhost nfs 

program 100003 version 2 ready and waiting 

program 100003 version 3 ready and waiting 

program 100003 version 4 ready and waiting 

# 可 发 现 提供 nfs 的 版 本 共有 三 种 ， 分 别 是 2, 3,4 版 吻 ! 

仔细 瞧 上 暴 ， 上 面 出 现 的 信息 当中 除了 程序 名 称 与 塌 口 的 对 应 可 以 与 


netstat -tlunp 输 


出 的 结果 作 比 对 之 外 ， 还 需要 注意 到 NFS 的 版 本 文 持 ! 新 的 NFS 版 
本 传输 速度 较 快 ， 


由 上 表 看 起 来 ， 我 们 的 NFS 至 少 文 持 到 第 4 版 ， 应 该 还 算 合理 啦 | 
人 和信 ! 如 采 你 的 


rpcinfo 无 法 输出 ， 那 就 表示 注册 的 数据 有 问题 啦 ! 可 能 需要 重新 启动 
rpcbind 与 nfs 


喔 ! 
13.2.5 NFS 的 联机 观察 


在 你 的 NFS 服务 需 设 定 尼 当 之 后 ， 我 们 可 以 在 server 端 先 目 我 测试 一 
下 是 否 可 


以 联机 喔 ! 就 是 利用 showmount 这 个 指令 来 查阅 ! 


[root@www ~l]# showmount [-ae] [hostnamelIP] 


选项 与 参数 : 


-a: 显示 目前 主机 与 客户 端的 NFS 联机 分 享 的 状态 ; 
-e : 显示 某 部 主机 的 /etc/exports 所 分 享 的 目 孙 数据 。 
#1. 请 显示 出 刚刚 我 们 所 设 定 好 的 相关 exports 分 享 目 孙 信 息 


[root@www ~]# showmount -e localhost 
Export list for localhost: 

/tmp * 

/home/linux *.centos.vbird 

/home/test 192.168.100.10 

/home/public (everyone) 
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很 简单 吧 ! 所 以 ， 当 你 要 扫 有 瞄 某 一 部 主机 他 提供 的 NFS 分 圣 的 目录 
时 ， 束 使 用 


showmount -e IP (或 hostname) 即 可 ! 非常 的 方便 吧 ! 这 也 是 NFS 
client 曾 最 常用 


的 指令 喔 ! 男 外 ，NFS 关于 目录 权限 设 定 的 数据 非常 之 多 ! 在 


/etc/exports 只 是 比 


较 特 别 的 权限 参数 而 已 ， 还 有 很 多 预 设 参数 呢 ! 这 些 预 设 参 数 在 哪 ? 
我 们 可 以 检查 一 


下 /var/lib/nfs/etab 就 知道 了 | 
[root@www ~]# tail /var/lib/nfs/etab 


/home/public 


192.168.100.0/24(rw,sync,wdelay,hide,nocrossmnt,secure,root_squash, 


no_all_squash,no_subtree_check,secure_locks,acl,anonuid=65534,anongid 
=65534 


) 
# 上 面 是 同一 行 ， 可 以 看 出 除了 rw, sync, root_squash 等 等 ， 
# 其 实 还 有 anonuid 及 anongid 等 等 的 设 定 ! 


上 面 仅仅 是 一 个 小 范例 ， 透 过 分 析 anonuid=65534 对 比 /etc/passwd 
后 ， 会 发 现 


CentOS 出 现 的 是 nfsnobody 啦 ! 这 个 账号 在 不 同 的 版 本 都 可 能 会 不 一 
样 的 ! 另外 ， 如 


果 有 其 他 客户 端 挂 载 了 你 的 NFS 文件 系统 时 ， 那 么 该 客户 端 与 文件 系 
统 信息 束 会 补 记 


杂 人 到 /var/lib/nfs/xtab 里 头 去 的 ! 


另外 ， 如 果 你 想 要 重新 处 理 /etc/exports 档案 ， 当 重新 设 定 完 
/etc/exports 后 


需 不 需要 重新 启动 nfs ? 不 需要 啦 ! 如 果 重 新 启动 nfs 的 话 ， 要 得 再 
向 RPC 注册 ! 


很 麻烦 一 这 个 时 候 我 们 可 以 透 过 exportfs 这 个 指令 来 帮忙 喔 ! 


[root@www ~]# exportfs [-aruv] 
选项 与 参数 : 
-a : 全 部 挂 载 (或 郊 除 ) /etc/exports 档案 内 的 设 定 


-r : 重新 挂 载 /etc/exports 里 面 的 设 定 ， 此 外 ， 亦 同步 更 新 /etc/exports 


及 /var/lib/nfs/xtab 的 内 容 ! 
-U : 番 除 基 一 日 杂 
-V : 在 export 的 时 候 ， 将 分 享 的 目 孙 显示 到 屏幕 上 |! 


#1. 重新 挂 载 一 次 /etc/exports 的 设 定 


[root@www ~]# exportfs -arv 

exporting 192.168.100.10:/home/test 
exporting 192.168.100.0/24:/home/public 
exporting *.centos.vbird:/home/linux 
exporting *:/home/public 

exporting *:/tmp 


#2. 将 已 经 分 享 的 NFS 目录 资产， 通通 都 御 除 


[root@www ~]# exportfs -auv 


# 这 时 如 果 你 再 使 用 showmount -e localhost 就 会 看 不 到 任何 资源 了 ! 
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要 台 悉 一 下 这 个 指令 的 用 法 喔 ! 这 样 一 来 ， 束 可 以 直接 重新 exportfs 
我 们 的 记录 在 


/etc/exports 的 目录 数据 史 ! 但 是 要 特别 留意 ， 如 果 你 仅 有 处 理 配 置 文 
件 ， 但 并 没有 


相对 应 的 目 隶 (/home/public 等 目录 ) 可 以 提供 使 用 啊 ! 那 可 能 会 出 现 


一 些 警告 讯息 


喔 ! 所 以 记得 要 建立 分 享 的 目录 才 对 ! 
13.2.6 NFS 的 安全 性 


在 NFS 的 安全 性 上 面 ， 有 些 地 方 是 你 必须 要 知道 的 喔 ! 底下 我 们 分 别 


吕 
防火 墙 的 设 定 问题 与 解决 方案 : 


一 般 来 说 ， NFS 的 服务 仅 会 对 内 部 网 域 开 放 ， 不 会 对 因特网 开放 的 。 
然而 ， 如 采 


你 有 特殊 需求 的 话 ， 那 么 也 可 能 会 路 不 同 网 域 殉 是 了 。 但 是 ，NEFS 的 
防火 墙 特别 难 捅 ， 


为 什么 呢 ? 因为 除了 固定 的 port 111, 2049 之 外 ， 还 有 很 多 不 固定 的 
塌 口 是 由 


rpc.mountd, rpc.rquotad 等 服务 所 开启 的 ， 所 以 ， 你 的 iptables 束 很 难 设 
定 规则 ! 


那 坚 办 ? 难道 整个 防火 墙 机 制 都 要 取消 才 可 以 ? 


为 了 解决 这 个 问题 ， CentOS 6.x 有 提供 一 个 固定 特定 NFS 服务 的 塌 口 
配置 文件 ， 


那 束 是 /etc/sysconfig/nfs 啦 ! 你 在 这 个 档案 里 面 束 能 够 指定 特定 的 塌 
口 ， 这 样 每 


次 局 动 nfs 时 ， 相 关 服 务 启动 的 塌 口 束 会 固定 ， 如 此 一 来 ， 我们 束 能 
够 设 定 正 确 的 防 


火 墙 嘿 ! 这 个 配置 文件 内 容 很 多 ， 绝 大 部 分 的 数据 你 都 不 要 去 更 改 ， 
只 要 改 跟 PORT 这 


个 关键 词 有 关 的 数据 即 可 。 那么 需要 更 改 的 rpc 服务 有 哪些 呢 ? 主要 


有 mountd， 

rquotad, nlockmgr 这 三 个 ， 所 以 你 应 该 要 这 样 改 : 
[root@www ~]# vim /etc/sysconfig/nfs 
RQUOTAD_PORT=1001 <== 约 在 13 行 左 右 
LOCKD_TCPPORT=30001 <== 约 在 21 行 左 右 
LOCKD_UDPPORT=30001 <== 约 在 23 行 左 右 
MOUNTD_PORT=1002 <== 约 在 41 行 左右 


# 记得 设 定 值 最 左边 的 批注 服务 要 拿 挥 之 外 ， 塌 口 的 值 你 也 可 以 目 行 
决定 。 


[root@www ~]# /etc/init.d/nfs restart 

[root@www ~]# rpcinfo -p | grep -E "(rquotalmountlnlock)' 
100011 2 udp 1001 rquotad 

100011 2 tcp 1001 rquotad 

100021 4 udp 30001 nlockmgr 

100021 4 tcp 30001 nlockmegr 

100005 3 udp 1002 mountd 
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100005 3 tcp 1002 mountd 


# 上 述 的 输出 数据 已 经 被 马 哥 汇 整 过 了 ， 没 用 到 的 堤 口 先 挪 挥 了 啦 ，! 


很 可 怕 吧 ! 如 采 想 要 开放 NFS 给 别 的 网 域 的 朋友 使 用 ， 又 不 想 要 让 对 
方 拥有 其 他 服务 


的 登入 功能 ， 那 你 的 防火 墙 束 得 要 开放 上 述 的 十 个 塌 口 啦 ! 有 够 麻烦 
的 一 假设 你 想 要 


开放 120.114.140.0/24 这 个 网 域 购 人 能 够 使 用 你 这 部 服务 器 的 NFS 的 
资源 ， 且 假设 


那么 你 还 得 要 这 样 做 才能 够 针 


对 读 网 域 让 得 


[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $EXTIF -p tcp -s 120.114.140.0/24 -m multiport \ 
--dport 111,2049,1001,1002,30001 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 120.114.140.0/24 -m multiport \ 
--dport 111,2049,1001,1002,30001 -j ACCEPT 


[root@www ~ |]# /usr/local/virus/iptables/iptables.rule 


总 是 要 重 狐 执行 这 样 防 火 墙 规则 才 会 顺利 的 生效 啊 ! 别 乐 记 ! 别 坊 


轩 
使 用 /etc/exports 设 定 更 安全 的 权限 : 


这 就 率 涉 到 你 的 逻辑 思考 了 ! 怎么 设 定 都 没有 关系 ， 但 是 在 『 便 利 J 
ed 


则 ， 要 找到 你 的 平衡 点 呐 ! 闭 用 root_squash 及 all_squash 等 功能 ， 再 
利用 anonuid 


等 等 的 设 定 来 规范 登入 你 主机 的 用 户 身份 ! 应 该 还 是 有 办 法 提供 一 个 
较为 安全 的 NFS 


服务 屁 的 ! 


另外 ， 当 然 啦 ， 你 的 NFS 服务 器 的 文件 系统 之 权限 设 定 也 需要 很 留 
意 ! 不 要 随便 


设 定 成 为 -rwxrwxrwx ， 这 样 会 造成 你 的 系统 『 很 大 的 困扰 J 了 的 啊 ! 
时 
更 安全 的 partition 规划 : 


如 果 你 的 工作 环境 中 ， 具 有 多 部 的 Linux 主机 ， 并 且 预 计 彼此 分 享 出 
目 永 时 ， 那 


人 在 安装 Linux 的 时 候 ， 最 好 就 可 以 规划 出 一 块 partition 作为 预 留 之 
用 。 因 为 了 NFS 


可 以 针对 目录 来 分 吝 4 ， 因 此 ， 你 可 以 将 预 留 的 partition 挂 载 在 任何 
一 个 挂 载 点 ， 


再 将 该 挂 载 点 (就 是 目 了 永 啦 ! ) 由 /etc/exports 的 设 定 中 分 享 出 去 ， 那 么 
整个 工作 环 


境 中 的 其 他 Linux 主机 残 可 以 使 用 该 NFS 服务 右 的 那 块 预 留 的 
partition 了 ! 所 以 ， 


在 主机 的 规划 上 面 ， 主 要 需要 留意 的 只 有 partition 而 已 。 此 外 ， 由 于 
分 译 的 
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partition 可 能 较 容 易 被 入 侵 ， 最 好 可 以 针对 该 partition 设 定 比较 严格 的 
参数 在 


/etc/fstab 当中 喔 ! 


此 外 ， 如 采 你 的 分 割 做 的 不 够 好 ， 举 例 来 说 ， 很 多 人 都 喜欢 使 用 懒 人 
分 割 法 ， 亦 即 


整个 系统 中 只 有 一 个 根 目 如 的 partition 而 已 。 这 样 做 会 有 什么 问题 


呢 ? 假设 你 分 至 


的 是 /home 这 个 给 一 般 用 户 的 目录 好 了 ， 有 些 用 户 觉 得 这 个 NFS 的 磁 
盘 太 好 用 了 ， 结 


条 使 用 者 束 将 他 的 一 大 堆 暂 存 数 据 通通 塞 进 这 个 NFS 磁盘 中 。 想 一 
想 ， 如 果 整 个 根 目 


录 束 因为 这 个 /home 被 塞 如 了， 那么 你 的 系统 将 会 造成 无 法 读 写 的 
相国 


民 好 的 分 割 规划 ， 或 者 是 利用 磁 副 配额 来 限制 还 十 很 重要 的 工作 。 
0 
NFS 服务 右 关 机 前 的 注意 事项 : 


需要 注意 的 古 ， 由 于 NFS 使 用 的 这 个 RPC 服务 ， 当 客户 端 连 上 服务 
右 了 时， 那么 你 


的 服务 如 想 要 关机 ， 那 可 就 会 成 为 『 不 可 能 的 任务 ! 如 果 你 的 服务 
右上 面 还 有 客户 


端 在 联机 ， 那 么 你 要 天机， 可 能 得 要 等 到 数 个 钟头 才能 够 正常 的 天 机 
成 功 ! 嘎 ! 真 的 


假 的 ! 不 相信 吗 ? 不 然 你 目 个 儿 试 试看 ! 和 作 人! 


BH 


所 以 史 ， 建 议 你 的 NFS Server 想 要 天 机 之 前 ， 能 先 『 关 掉 rpcbind 与 


nfs 4 这 


两 个 东西 ! 如 果 无 法 正确 的 将 这 两 个 daemons 关 掉 ， 那 么 移 以 netstat 
-utlp 找 出 


PID ， 然 后 以 k 训 将 他 关 掉 和 完 ! 这 样 才 有 办 法 正常 的 关机 成 功 喔 ! 这 


个 请 特别 特别 的 
注意 呢 ! 


当然 啦 ， 你 也 可 以 利用 showmount -a localhost 来 查 出 来 那个 客户 端 还 
在 联机 ? 


或 者 是 查阅 /var/lib/nfs/rmtab 或 xtab 等 档案 来 检查 亦 可 。 找 到 这 些 客 
户 端 后 ， 可 


以 直接 call 他 们 啊 ! 让 他 们 能 够 帮 帮 忙 先 ! 和 和 


事实 上 ， 客 户 端 以 NFS 联机 到 服务 器 问 时 ， 如 有 果 他 们 可 以 下 达 一 些 比 
较 不 那么 『 硬 4 


的 挂 载 参数 时 ， 束 能 够 减少 这 方面 的 问题 喔 ! 相关 的 安全 性 可 以 参考 
下 一 小 节 的 客 己 


13.3 NFS 客户 端的 设 定 


既然 NFS 服务 人 右 最 主要 的 工作 吏 是 分 皇 文 件 系统 给 网 络 上 其 他 的 客户 
端 ， 所 以 客 

户 端 当然 得 要 挂 载 这 个 玩意 儿 史 ! 此 外 ， 服 务 器 端 可 以 加 设防 火 墙 来 
保护 目 己 的 文件 


系统 ， 那 么 客户 端 挂 载 该 文件 系统 后 ， 难 道 不 需要 保护 目 己 ? 呵呵 ! 
所 以 邦 下 我 们 要 


来 谈 一 谈 几 个 NFS 客户 端的 课题 。 
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13.3.1 手动 挂 载 NFS 服务 器 分 享 的 资源 


你 要 如 何 挂 载 NFS 服务 器 所 提供 的 文件 系统 呢 ? 基本 上 ， 可 以 这 样 
做 : 


1. 确认 本 地 端 已 经 启动 了 rpcbind 服务 | 

2. 扫 瞄 NFS 服务 器 分 享 的 目录 有 哪些 ， 并 了 解 我 们 是 否 可 以 使 用 
(showmount) ; 

3. 在 本 地 端 建立 预计 要 挂 载 的 挂 载 点 目录 (mkdir); 

4. 利用 mount 将 远程 主机 直接 挂 载 到 相关 目录 。 

好 ， 现 在 假设 客户 端 在 192.168.100.10 这 部 机 器 上 ， 而 服务 器 是 


192.168.100.254 ， 那么 赶紧 来 检查 一 下 我 们 是 否 已 经 有 rpcbind 的 启 
动 ， 另 外 远程 


主机 有 什么 可 用 的 目录 呢 ! 
#1. 局 动 必 备 的 服务 : 大 没有 局 动 才 局 动 ， 有 局 动 则 保持 原样 不 动 。 


[root@clientlinux ~]# /etc/init.d/rpcbind start 
[root@clientlinux ~]# /etc/init.d/nfslock start 


# 一 般 来 说 ， 系 统 默认 会 启动 rpcbind ， 不 过 乌 哥 之 前 关闭 过 ， 所 以 要 


局 动 。 


0 务 器 端 有 局 动 nfslock 的 话 ， 客 户 端 也 要 启动 才能 
效 ， 


# 2. 查询 服务 器 提供 哪些 资源 给 我 们 使 用 呢 ? 
[root@clientlinux ~]# showmount -e 192.168.100.254 

Export list for 192.168.100.254: 

/tmp * 

/home/linux *.centos.vbird 

/home/test 192.168.100.10 

/home/public (everyone) <== 这 是 等 一 下 我 们 要 挂 载 的 目 孙 


接 下 来 我 想 要 将 远程 主机 的 home/public 挂 载 到 本 地 端 主机 的 
/homemfs/public ， 


所 以 我 束 得 要 三 本 地 剖 主 机 先 建立 起 这 文 个 挂 载 点 目录 才 行 啊 ! 然后 整 
可 以 用 mount 这 


个 指令 直接 挂 载 NFS 的 文件 系统 嗓 ! 
# 3. 建立 挂 载 点 ， 并 且 实 际 挂 载 看 看 嗓 


[root@clientlinux ~]# mkdir -p /home/nfs/public 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/public \ 
> /home/nfs/public 

# 注意 一 下 挂 载 的 语法 ! 『 -tnfs 4 指定 文件 系统 类 型 ， 


# IP:/dir 则 是 指定 某 一 部 主机 的 某 个 提供 的 目录 ! 另外 ， 如 果 出 现 如 
下 错误 I 天: 


mount: 192.168.100.254:/home/public failed, reason given by server: No 
such file 

or directory 

# 这 代表 你 在 Server 上 面 并 没有 建立 /home/public 啦 ! 

目 己 在 服务 器 端 建 
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必 
立 他 吧 | 
4. 总 是 得 要 看 看 挂 载 之 后 的 情况 如 何 ， 可 以 使 用 df 或 mount 啦 
[root@clientlinux ~]# df 
文件 系统 IK- 区 段 已 用 可 用 已 用 % 挂 载 点 
…( 中 间 省 略 )..… 


192.168.100.254:/home/public 


7104640 143104 6607104 3% 


/home/nfs/public 


先 注意 一 下 挂 载 NFS 档案 的 格式 范例 喔 ! 呵呵 ! 这 样 殉 可 以 将 数据 挂 
载 进来 啦 ! 请 注 


意 咀 ! 以 后 ， 只 要 你 进入 你 的 目录 /home/nfs/public 束 等 于 到 了 
192.168.100.254 


那 部 远程 主机 的 /home/public 那个 目录 中 虽 ! 很 不 错 吧 ! 至 于 你 在 该 
目录 下 有 什么 权 


限 ? 那 就 请 你 回去 前 一 小 节 查 一 查 权 限 的 思考 吧 ! 和 入! 那么 如 何 将 
挂 载 的 NFS 目 


录 弛 除 昵 ?就 使 用 umount 啊 ! 
[root@clientlinux ~]# umount /home/nfs/public 
13.3.2 客户 端 可 处 理 的 挂 载 参数 与 开机 挂 载 


瞧 ! 客户 端的 挂 载 工作 很 商 单 吧 ! 不 过 不 晓得 你 有 没有 想 过 ， 如 果 你 
刚刚 挂 载 到 本 


机 /home/nfs/public 的 文件 系统 当中 ， 含 有 一 文 script ， 且 这 文 script 
的 内 容 为 


『 rm -rf /4 了 且 该 档案 权限 为 555 ， 天 硅 一 如 果 你 因为 好 奇 给 他 执行 
下 去 ， 可 有 的 


你 受 的 了 一 因为 整个 系统 都 会 被 杀 光 光 ! 真 可 怜 ! 


所 以 说 ， 除 了 NFS 服务 器 需要 保护 之 外 ， 我 们 取 用 人 家 的 NFS 文件 
系统 也 需要 目 


我 保护 才 行 啊 ! 那 要 如 何 目 我 保护 啊 ? 可 以 透 过 mount 的 指令 参数 
喔 ! 包括 底下 这 些 


主要 的 参数 可 以 答 试 加 入 : 

系统 默认 

参数 

参数 代表 意义 

值 

晓得 叭 是 SUID 吧 ? 如 果 挂 载 的 partition 上 面 有 任何 SUID 


的 binary 程序 时 ， 你 只 要 使 用 nosuid 就 能 够 取消 SUID 的 
suid 功能 了 ! 嘎 ? 不 知道 什么 是 SUID ? 那 就 不 要 学 人 家 架 站 嘛 ! 


suid 


nosuid @_@ ! 
资源 管理 路 1 
TW 

你 可 以 指定 该 文件 系统 是 只 读 (ro) 或 可 探 写 喔 ! 服务 器 可 以 
TW 

TO 

提供 给 你 可 擦 写 ， 但 是 客户 端 可 以 仅 允 许 只 读 的 参数 设 定 值 ! 


dev 是 否 可 以 保留 逆 置 档案 的 特殊 功能 ?一般 来 说 只 有 /dev 这 个 


dev 
nodev 目录 才 会 有 特殊 的 装置 ， 因 此 你 可 以 选择 nodev 喔 ! 
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exec 是 否 具有 执行 binary file 的 权限 ? 如 果 你 想 要 挂 载 的 仅 是 


eXeC 

noexec 数据 区 (例如 /home)， 那 么 可 以 选择 noexec 啊 ! 

user 是 否 人 允许 用 户 进 行 档案 的 挂 载 与 凶 除 功能 ? 如 果 要 保护 文件 
NOUsSer 


nouser 系统 ， 最 好 不 要 提供 使 用 者 进行 挂 载 与 抒 除 吧 1 


auto 这 个 auto 指 的 是 『mount -ad 时 ， 会 不 会 被 挂 载 的 项 目 。 如 
auto 
noauto 果 你 不 需要 这 个 partition 随时 被 挂 载 ， 可 以 设 定 为 noauto 。 


一 般 来 说 ， 如 采 你 的 NFS 服务 万 所 提供 的 只 是 类 似 /home 旗下 的 个 人 
人 资料， 应 


该 不 需要 可 执行 、SUID 与 洲 置 档案 ， 因 此 当 你 在 挂 载 的 时 候 ， 可 以 
这 样 下 达 指 令 喔 : 


[root@clientlinux ~]# umount /home/nfs/public 
[root@clientlinux ~]# mount -t nfs -o nosuid,noexec,nodev,rw \ 
> 192.168.100.254:/home/public /home/nfs/public 
[root@clientlinux ~]# mount | grep addr 
192.168.100.254:/home/public on /home/nfs/public type nfs 
(rw,noexec,nosuid, 
nodev,vers=4,addr=192.168.100.254,clientaddr=192.168.100.10) 


这 样 一 来 你 所 挂 载 的 这 个 文件 系统 区 ® 只 能 作为 资料 存 取 之 用 ， 相 对 来 
说 ， 对 于 客户 器 是 


比较 安全 一 些 的 。 所 以 说 ， 这 个 nosuid, noexec, nodev 等 等 的 参数 可 
得 记得 啊 ! 


0 
天 于 NFS 特殊 的 挂 载 参数 


除了 上 壕 的 mount 参数 之 外 ， 其 实 针 对 NFS 服务 器 ， 明 们 的 Linux 还 
提供 不 少 


有 用 的 额外 参数 喔 ! 这 些 特殊 参数 还 非常 有 用 呢 ! 为 什么 呢 ? 举例 来 
需 辣 二 及 件 条 


统 对 Linux 十 非常 重要 的 东西 ， 因 为 我 们 进行 任何 动作 时 ， 只 要 有 用 
到 文件 系统 ， 那 


么 整个 目录 树 系统 就 会 主动 的 去 查询 全 部 的 挂 载 点 。 如 果 你 的 NFS 服 
务 器 与 客户 端 之 


间 的 联机 因为 网 络 问 题 ， 或 者 是 服务 句 端 先天 机 了 ， 却 没有 通知 客户 
端 ， 那 么 客户 端 


只 要 动 到 文件 系统 的 指令 (例如 df, ls, cp 等 等 ) ， 整 个 系统 束 会 慢 到 
爆 ! 因为 你 必 


须要 等 到 文件 系统 搜寻 等 得 逾 时 后 ， 系 统 才 会 侯 了 你 ! ( 乌 哥 等 过 df 
指令 30 分 钟 


过] 

为 了 避免 这 些 困扰 ， 我 们 还 有 一 些 额 外 的 NFS 挂 载 参 数 可 用 ! 例如 : 
参数 

参数 功能 


预 设 参数 


fg 
当 执行 挂 载 时 ， 该 挂 载 的 行为 会 在 前 景 (fg) 还 是 在 背景 
fg 
bg 


(bg) 执行 ? 名 在 前 景 执行 时 ， 则 mount 会 持续 笑 试 挂 载 ， 
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直到 成 功 或 time out 为 止 ， 若 为 背景 执行 ， 则 mount 会 

在 背景 持续 多 次 进行 mount ， 而 不 会 影响 到 前 景 的 程序 操 

作 。 如 果 你 的 网 络 联机 有 点 不 稳定 ， 或 是 服务 器 常常 需要 开 
关机 ， 那 建议 使 用 bg 比较 妥当 。 

如 果 是 hard 的 情况 ， 则 当 两 者 之 间 有 任何 一 部 主机 脱 机 ， 

则 RPC 会 持续 的 呼叫 ， 直 到 对 方 恢复 联机 为 止 。 如 果 是 soft 

soft 的 话 ， 那 RPC 会 在 time out 后 【重复 」 呼叫 ， 而 非 『 持 续 」 hard 
hard 呼叫 ， 因此 系统 的 延迟 会 比较 不 这 么 明显 。 同 上 ， 如 果 你 的 
服务 器 可 能 开 开 关 关 ， 建 议 用 soft 喔 ! 

当 你 使 用 上 头 提 到 的 hard 方式 挂 载 时 ， 若 加 上 intr 这 个 

intr 参数 ， 则 当 RPC 持续 呼叫 中 ， 该 次 的 呼叫 是 可 以 被 中 断 的 
没有 


(interrupted) 。 
读 出 (rsize) 与 写 入 (wsize) 的 区 块 大 小 (block size])。 这 
个 设 定 值 可 以 影响 客户 端 与 服务 器 端 传输 数据 的 缓冲 记忆 容 
量 。 一 般 来 说 ， 如 果 在 局 域 网 络 内 (LAN) ， 并 且 客 户 端 与 


rsize 

rsize=1024 

服务 器 端 都 具有 足够 的 内 存 ， 那 这 个 值 可 以 设 定 大 一 点 ， 比 

wsize 

wsize=1024 

如 说 32768 (bytes) 等 ， 提 升 缓冲 记忆 区 块 将 可 提升 NFS 文 

件 系 统 的 传输 能 力 ! 但 要 注意 设 定 的 值 也 不 要 太 大 ， 最 好 是 

达到 网 络 能 够 传输 的 最 大 值 为 限 。 

更 多 的 参数 可 以 参考 man nfs 的 输出 数据 喔 ! 通常 如 果 你 的 NFS 是 用 


在 高 速 运 


作 的 环境 当中 的 话 ， 那 么 可 以 建议 加 上 这 些 参 数 的 说 : 


[root@clientlinux ~]# umount /home/nfs/public 
[root@clientlinux ~]# mount -t nfs -o nosuid,noexec,nodev,rw \ 
> -0 bg,soft,rsize=32768,wsize=32768 \ 

> 192.168.100.254:/home/public /home/nfs/public 


则 当 你 的 192.168.100.254 这 部 服务 器 因为 某 些 因素 而 脱 机 时 ， 你 的 
NFS 可 以 继续 在 


背景 当中 重复 的 呼叫 ! 直到 NFS 服务 硕 再 度 上 线 为 止 。 这 对 于 系统 
的 持续 操作 还 是 有 


帮助 的 啦 ! 当然 啦 ， 那 个 rsize 与 wsize 的 大 小 则 需要 依据 你 的 实际 网 
络 环境 而 定 


喔 | 

Tips: 

在 鸟 可 的 实际 案例 中 ， 某 些 大 型 的 模式 运算 并 不 允许 soft 这 个 参 
数 喔 ! 举例 来 说 ， 鸟 哥 惯 用 的 CMAQ 空气 质量 模式 ， 这 个 模式 的 从 
集 架构 分 享 文件 系统 中 ， 就 不 允许 使 用 soft 参数 ! 这 点 需要 特别 
留意 喔 | 

0 
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将 NFS 开机 即 挂 载 


我 们 知道 开机 就 挂 载 的 挂 载 点 与 相关 参数 是 写 入 /etc/fstab 中 的 ， 那 
NFS 能 不 


能 写 入 /etc/fstab 当中 呢 ? 非常 可 惜 的 是 ， 不 可 以 昵 ! 为 喻 呢 ? 分 析 一 
下 开机 的 流 


程 ， 我 们 可 以 发 现 网 络 的 启动 古 在 本 机 挂 载 之 后 ， 因 此 当 你 利用 
/etc/fstab 党 试 挂 我 


NFS 时 ， 系 统 由 于 尚未 局 动 网 络 ， 所 以 肯定 是 无 法 挂 载 成 功 的 啦 ! 那 
皇 办 ? 简单 ! 就 写 


入 /etc/rc.d/rc.local 即 可 ! 


[root@clientlinux ~]# vim /etc/rc.d/rc.local 


mount -t nfs -o 


nosuid,noexec,nodev,rw,bg,soft,rsize=32768,wsize=32768 \ 
192.168.100.254:/home/public /home/nfs/public 
13.3.3 无 法 挂 载 的 原因 分 析 


如 有 条 客户 端 就 是 无 法 挂 载 服务 硕 端 所 分 皇 的 目录 时 ， 到 搬 是 发 生 什么 
问题 ? 你 可 以 


这 样 分 析 看 看 : 
0 
客户 端的 主机 名 或 IP 网 段 不 被 允许 使 用 : 


以 上 面 的 例子 来 说 明 ， 我 的 /home/test 只 能 提供 192.168.100.0/24 这 个 
网 域 ， 


所 以 如 果 我 在 192.168.100.254 这 部 服务 器 中 ， 以 localhost (127.0.0.1) 
来 挂 载 时 ， 


束 会 无 法 挂 载 上 ， 这 个 权限 概念 没 问 题 吧 ! 不 然 你 可 以 在 服务 右上 试 
试看 : 


[root@www ~]# mount -t nfs localhost:/home/test /mnt 


mount.nfs: access denied by server while mounting localhost:/home/test 


看 到 access denied 了 吧 ? 没 错 啦 一 权限 不 符 啦 ! 如 果 确 定 你 的 IP 没有 
错误 ， 那 么 


请 通知 服务 器 端 ， 请 管理 员 将 你 的 卫 加 入 /etc/exports 这 个 档案 中 。 
UD 
服务 硕 或 客户 端 某 些 服务 未 启动 : 


这 个 最 容易 被 态 记 了 ! 就 是 乐 记 了 局 动 rpcbind 这 个 服务 啦 ! 如 果 你 
在 客户 端 发 


现 mount 的 讯 居 是 这 样 : 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/test /mnt 
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0 


mount: mount to NFS server '192.168.100.254 failed: System Error: 
Connection refused. 


# 如 条 你 使 用 ping 却 发 现 网 络 与 服务 万 都 是 好 的 ， 那 么 这 个 问题 就 是 
rpcbind 没有 开 啦 ! 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/test 

/home/nfs 


mount: mount to NFS server '192.168.100.254' failed: RPC Error: Program 
not registered. 


# 注意 看 最 后 面 的 数据 ， 确 实 有 连 上 RPC ， 但 是 服务 器 的 RPC 告知 我 
人 有] 该 


程序 无 注册 


要 啊 束 是 rpcbind 起 记 开 (第 一 个 错误 )， 要 嘛 束 是 服务 右 端 的 nfs 坊 记 
开 。 最 厅 烦 


的 是 ， 重新 启动 了 mpcbind 但 是 却 忘记 重新 启动 其 他 服务 (上 述 第 二 个 
背 误 )! 解决 


的 方法 就 是 去 重新 启动 rpcbind 管理 的 其 他 所 有 服务 就 是 了 ! 


0 
被 防火 墙 档 挥 了 : 


由 于 NFS 几乎 不 对 外 开放 ， 而 内 部 网 域 又 通常 是 全 部 的 资源 都 放行 ， 
因此 过 去 玩 


NFS 的 朋友 (包括 乌 哥 本 人 啦 ! ) 都 没有 注意 过 NFS 的 防火 墙 问 题 。 
最 近 这 几 年 乌 哥 


在 管理 计算 机 教室 时 ， 有 掌管 一 部 计算 机 教室 主 控 防火 墙 ， 为 了 担心 
太 厉 害 的 学 生 给 


乌 哥 乱 搞 ， 因 此 该 Linux 防火 墙 预 设 是 仅 放行 部 分 资源 而 已 。 但 由 于 
计算 机 教室 的 区 


网 内 需要 用 到 Linux 的 NFS 资产， 结果 呢 ? 竟然 没 办 法 放行 啊 ! 原来 
就 是 iptables 


没有 放行 NFS 所 使 用 到 的 埋 口 一 


所 以 ， 当 你 一 直 无 法 顺利 的 连接 NFS 服务 器 ， 请 先 到 服务 器 端 ， 将 客 
户 端 的 了 P 完 


全 放行 ， 铬 确定 这 样 束 连 的 上 ， 那 代表 束 是 防火 墙 有 问题 啦 ! 怎么 解 
决 呢 ?上 一 小 市 


介绍 过 了 ， 参 考 将 NFS 服务 器 塌 口 固定 的 方式 吧 ! 
13.3.4 自动 挂 载 autofs 的 使 用 


在 一 般 NFS 文件 系统 的 使 用 情况 中 ， 如 果 客 户 端 要 使 用 服务 器 端 所 提 
供 的 NFS 文 


件 系 统 时 ， 要 啊 就 是 得 在 /etc/rc.d/rc.local 当中 设 定 开 机 时 挂 载 ， 要 啊 
器 得 要 登入 


系统 后 手动 利用 mount 来 挂 载 。 此外， 客户 端 得 要 预先 手动 的 建立 好 
挂 载 护 目录 ， 然 


后 挂 载 上 来 。 但 是 这 样 的 使 用 情况 娩 介 有 点 小 问题 。 
0 
NFS 文件 系统 与 网 络 联机 的 困扰 : 
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NFS client 中 


我 们 知道 NFS 服务 絮 与 客户 站 的 联机 或 许 不 会 永远 存在 ， 而 RPC 这 
个 服务 又 挺 讨 


大 的 ， 如 果 挂 载 了 NFS 服务 右 后 ， 任 何 一 方 脱 机 都 可 能 造成 男 外 一 方 
老 旦 在 等 待 逾 时 一 


而 且 ， 挂 载 的 NFS 文件 系统 可 能 又 不 是 常 彰 被 使 用 ， 但 大 不 挂 载 的 
话 ， 有 时候 紧急 要 


使 用 时 又 得 通知 系统 管理 员 ， 这 又 很 不 方便 ... 啊 ! 好 讨厌 的 感觉 啊 一 
@_@ 


所 以 ， 让 我 们 换个 思考 的 角度 来 讨论 一 下 使 用 NFS 的 情境 : 


Ee 0 
E37 


0 当 NFS 文件 系统 使 用 完毕 后 ， 可 不 可 以 让 NFS 目 动 印 除 ， 以 避免 可 
能 的 


如 果 能 达到 上 述 的 功能 ， 那 就 太 完 美 啦 ! 有 没有 这 东西 呢 ? 有 的 ,在 
现在 的 Linux 


环境 下 这 是 可 以 达成 的 理想 ! 用 的 就 是 autofs 这 个 服务 啦 ! 
autofs 的 设 定 概念 : 


autofs 这 个 服务 在 客户 端 计算 机 上 面 ， 会 持续 的 侦 测 某 个 指定 的 目 
录 ， 并 预 完 设 


定 当 使 用 到 该 目 孙 下 的 某 个 次 目 永 时 ， 将 会 取得 来 目 服 务 硕 端的 NFS 
文件 系统 资源 ， 


并 进行 目 动 挂 载 的 动作 。 讲 这 样 或 许 你 有 点 模糊 ， 让 我 们 拿 确 下 这 个 
图 示 来 看 看 : 


13.3-1、autofs 自动 挂 载 的 配置 文件 内 容 示意 图 
如 上 图 所 示 ， 我 们 的 autofs 主要 配置 文件 为 /etc/auto.master， 这 个 档 
案 的 内 


了 


容 很 答 单 ， 如 上 所 示 ， 我 只 要 定义 出 最 上 层 目 孙 (/home/nfsfile) 即 
可 ， 这 个 目录 了 束 


是 autofs 会 一 直 持 续 侦 测 的 目 孙 啦 。 至 于 后 续 的 档案 则 是 该 目 了 永 底 下 
各 次 目录 的 对 


应 。 在 /etc/auto.nfs (这 个 档案 的 档 名 可 目 定 义 ) 里 面 则 可 以 定义 出 每 个 
次 目 孙 所 欲 


挂 载 的 远程 服务 絮 的 NFS 目录 资源 ! 


举例 来 说 ，『 当 我 们 在 客户 端 要 使 用 /home/nfsfile/public 的 数据 时 ， 
此 时 

autofs 才 会 去 192.168.100.254 服务 姻 上 挂 载 home/public ! 」 且 『 当 
隔 了 5 分 

钟 没 有 使 用 该 目 孙 下 的 数据 后 ， 则 客户 端 系统 将 会 主动 的 印 除 
/home/nfsfile/public 4 。 
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很 不 错 用 的 一 个 工具 吧 ! 因为 有 用 到 服务 器 的 数据 时 才 目 动 挂 载 ， 没 
有 使 用 了 融会 


目 动 凶 除 ! 而 不 是 传统 的 情况 一 直 是 挂 载 的 ! 既然 这 么 好 用 ， 那 加 让 
我 们 实际 来 操 演 


一 个 : 
吕 
建立 主 配 置 文件 /etc/auto.master ， 并 指定 侦 测 的 特定 目 孙 


这 个 主要 配置 文件 的 内 容 很 简单 ， 只 要 有 雪 被 持续 侦 测 的 目录 及 『 数 
据 对 应 文件 J 


即 可 。 那个 数据 对 应 文件 的 文件 名 是 可 以 目 行 设 定 的 ， 在 乌 哥 这 个 例 
子 当 中 我 使 用 


/etc/auto.nfs 来 命名 。 


[root@clientlinux ~]# vim /etc/auto.master 


/home/nfsfile /etc/auto.nfs 


上 壕 数 据 中 比较 需要 注意 的 是 ， 那 个 home/nfsfile 目录 不 需要 存在 ， 
因为 autofs 会 


主动 的 建立 该 目录 ! 如 果 你 建立 了 ， 可 能 反而 会 出 问题 ~ 因此 ， 先 确 
定 一 下 没有 该 目 


录 吧 ! 
UD 
建立 数据 对 应 文件 内 (/etc/auto.nfs) 的 挂 载 信息 与 服务 器 对 应 资源 


刚刚 我 们 所 指定 的 /etc/auto.nfs 是 目 行 设 定 的 ， 所 以 这 个 档案 是 不 存在 
的 。 那 


么 这 个 档案 的 格式 是 如 何 呢 ? 你 可 以 这 样 看 : 

[本 地 闻 次 目录 ] [- 挂 载 参数 ] [服务 右 所 提供 的 目录 ] 

选项 与 参数 : 

[本 地 端 次 目录 ] : 指 的 就 是 在 /etc/auto.master 内 指定 的 目录 之 次 目录 
[- 挂 载 参数 ] :就 是 前 一 小 节 提 到 的 rwbg,soft 等 等 的 参数 啦 ! 可 有 可 
无 ; 

[服务 器 所 提供 的 目录 ] : 例如 192.168.100.254:/home/public 等 
[root@clientlinux ~]# vim /etc/auto.nfs 

public -rw,bg,soft,rsize=32768,wsize=32768 
192.168.100.254:/home/public 

testing -rw,bg,soft,rsize=32768,wsize=32768 

192.168.100.254:/home/test 

temp -rwbg,softrsize=32768,wsize=32768 192.168.100.254:/tmp 


# 参数 部 分 ， 只 要 最 前 面 加 个 - 符号 即 可 ! 
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这 样 丈 可 以 建立 对 应 了 ! 要 注意 的 是 ， 那 些 /home/nfsfile/public 是 不 
需要 事先 建立 


的 ! 咱们 的 autofs 会 事情 况 来 处 理 喔 ! 好 了 ， 接 下 来 让 我 们 看 看 如 何 
实际 运作 吧 ! 


配置 文件 设 定 妥当 后 ， 当 然 束 是 要 启动 autofs 啦 ! 


[root@clientlinux ~]# /etc/init.d/autofs stop 


[root@clientlinux ~]# /etc/init.d/autofs start 


# 很 奇怪 ! 非常 怪 ! CentOS 6.x 的 autofs 使 用 restart 会 失效 ! 所 以 乌 


哥 
才 进 行 两 次 


假设 你 目前 并 没有 挂 载 任何 来 自 192.168.100.254 这 部 NES 服务 器 的 
资源 日 录 。 好 了 ， 


el 看 看 儿 个 重要 的 数据 吧 ! 先 看 看 /home/nfsfile 会 
会 主动 的 被 


建立 ?” 然后 ， 如 果 我 要 进入 /home/nfsfile/public 上 时， 文件 系统 会 如 何 
变化 呢 ? 


[root@clientlinux ~]# 1 -d home/nfsfile 
drwxr-xr-x. 2 root root 0 2011-07-28 00:07 /home/nfsfile 


# 仔细 看 ， 隶 会 发 现 /home/nfsfile 容量 是 0 喔 ! 那 是 正常 的 ! 因为 是 


autofs 


建立 的 

[root@clientlinux ~]# cd /home/nfsfile/public 
[root@clientlinux publicl# mount | grep nfsfile 
192.168.100.254:/home/public on /home/nfsfile/public type nfs 
(rw,soft,rsize=32768, 


wsize=32768,sloppy,vers=4,addr=192.168.100.254,clientaddr=192.168.100 
.10) 


# 上 面 的 输出 是 同一 行 ! 瞧 ! 突然 出 现 这 个 玩意 儿 ! 因为 是 目 动 挂 载 
的 嘛 ! 


[root@clientlinux public]# df /home/nfsfile/public 
文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 点 


192.168.100.254:/home/public 


7104640 143104 6607040 3% 
/home/nfsfile/public 
# 档案 的 挂 载 也 出 现 没 错 ! 


呵呵 ! 真是 好 啊 ! 如 此 一 来 ， 如 琳 真 的 有 和 需要 用 到 该 目 邓 时， 系统 
会 去 相对 的 服务 右 


上 面 挂 载 ! 肴 是 一 阵子 没有 使 用 ， 那 么 该 目录 束 会 被 鼻 除 呢 ! 这 样 束 
城 少 了 很 多 不 必 


要 的 使 用 时 机 啦 ! 还 不 错 用 吧 ! 和信 
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13.4 案例 演练 


让 我 们 来 做 个 实际 党 练 ， 在 练习 之 前 ， 请 将 服务 器 的 NFS 设 定 数据 都 


清除 ， 但 十 


保留 rpcbind 不 可 关闭。 至 于 客户 并 的 环境 下 ， 先 关 闭 autofs 以 及 取 
消 之 前 在 


/etc/rc.d/rc.local 里 面 写 入 的 开机 上 自动 挂 载 项 目 。 同 时 删除 /home/nfs 目 
了 永 哟 ! 接 


下 来 请 看 看 我 们 要 处 理 的 环境 为 何 : 

模拟 的 环境 状态 中 ， 服 务 器 端的 想法 如 下 : 

1. 假设 服务 器 的 IP 为 192.168.100.254 这 一 部 ; 

2. /tmp 分 享 为 可 擦 写 ， 并 且 不 限制 使 用 者 身份 的 方式 ， 分 享 给 所 有 
192.168.100.0/24 这 个 网 域 中 的 所 有 计算 机 .; 

3. /home/nfs 分 享 的 属性 为 只 读 ， 可 提供 除了 网 域内 的 工作 站 外 ， 向 


Internet 
亦 提供 数据 内 容 ; 


4. /home/upload 做 为 192.168.100.0/24 这 个 网 域 的 数据 上 传 目录 ， 其 
中 ， 


这 个 home/upload 的 使 用 者 及 所 属 群 组 为 nfs-upload 这 个 名 字 ， 他 的 
UID 


与 GID 均 为 210: 


5. /home/andy 这 个 目录 仅 分 享 给 192.168.100.10 这 部 主机 ， 以 提供 该 
主机 


上 面 andy 这 个 用 户 来 使 用 ， 也 丈 是 说 ， andy 在 192.168.100.10 及 
192.168.100.254 均 有 账号 ， 且 账号 均 为 andy ， 所 以 预计 开放 


/home/andy 给 
andy 使 用 他 的 家 目 孙 啦 ! 
服务 需 端 设 定 的 实地 演练 : 


好 了 ， 那 么 请 你 先 不 要 看 故 下 的 答案 ， 先 目 己 动笔 或 者 直接 在 目 己 的 
机 妖 上 面 动 手 


作 作 看 ， 等 到 得 到 你 要 的 答案 之 后 ， 再 看 底下 的 说 明 吧 


1. 首先 ， 束 是 要 建立 /etc/exports 这 个 档案 的 内 容 哆 ， 你 可 以 这 样 写 
吧 | 


[root@www ~]# vim /etc/exports 

/tmp 192.168.100.0/24(rw,no_root_squash) 

/home/nfs 192.168.100.0/24(ro) *(ro,all_squash) 
/home/upload 
192.168.100.0/24(rw,all_squash,anonuid=210,anongid=210) 
/home/andy 192.168.100.10(rw) 
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2. 再 来 ， 就 古 要 建立 每 个 对 应 的 目录 的 实际 Linux 权限 了 ! 我 们 一 个 
sok 


看 : 


#1. /tmp 


[root@www ~]# 1 -d /tmp 

drwxrwxrwt. 12 root root 4096 2011-07-27 23:49 /tmp 
# 2. /home/nfs 

[root@www ~]# mkdir -p /home/nfs 


[root@www ~]# chmod 755 -R /home/nfs 


# 修改 较为 严格 的 档案 权限 将 目录 与 档案 设 定 成 只 读 ! 不 能 写 入 的 状 


6 全 中 


保险 一 点 ! 

# 3. /home/upload 

[root@www ~]#groupadd -g 210 nfs-upload 

[root@www ~]# useradd -g 210 -u 210 -M nfs-upload 

# 多 建立 对 应 的 账号 与 组 名 及 UID 喔 ! 
[rootO@www~]#mkdir -p /home/upload 

[root@www ~]# chown -R nfs-upload:nfs-upload /home/upload 
# 修改 拥有 者 ! 如 此 ， 则 用 户 与 目录 的 权限 都 设 定 妥当 哆 1! 
# 4. /home/andy 

[root@www ~]# useradd andy 

[root@www ~l]# 1 -d /home/andy 

drwx------ .4andy andy 4096 2011-07-28 00:15 /home/andy 


这 样子 一 来 ， 权 限 的 问题 大 概 束 可 以 解决 哎 ! 


3. 重新 启动 nfs 服务 : 

[root@www ~]# /etc/init.d/nfs restart 

4. 在 192.168.100.10 这 部 机 器 上 面 演 练 一 下 : 

#1. 确认 远程 服务 絮 的 可 用 日 邓 : 
[root@clientlinux ~]# showmount -e 192.168.100.254 
Export list for 192.168.100.254: 

/home/andy 192.168.100.10 
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0 


/home/upload 192.168.100.0/24 

/home/nfs (everyone) 

/tmp 192.168.100.0/24 

# 2. 建立 挂 载 点 : 

[root@clientlinux ~]# mkdir -p /mnt/{tmp,nfs,upload,andy} 

# 3. 实际 挂 载 : 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/tmp 
/mnt/tmp 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/nfs 


/mnt/nfs 


[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/upload 
/mnt/upload 

[root@clientlinux ~]# mount -t nfs 192.168.100.254:/home/andy 
/mnt/andy 

整个 步 又 大 人 臻 上 束 古 这 样 呐 ! 加 油 喔 ! 

13.5 重点 回顾 


吕 Network FileSystem (NFS) 可 以 让 主机 之 间 透 过 网 络 分 享 彼此 的 档案 
与 目 


录 ; 

0 NFS 主要 是 透 过 RPC 来 进行 fle share 的 目的 ， 所 以 Server 与 Client 
的 RPC 一 定 要 局 动 才 行 ! 

0 NEFS 的 配置 文件 就 是 /etc/exports 这 个 档案 ; 

0 NFS 的 权限 可 以 观察 /var/lib/nfs/etab， 至 于 的 重要 登录 档 可 以 参考 
/var/lib/nfs/xtab 这 个 档案 ， 还 包含 相当 多 有 用 的 信息 在 其 中 1! 


0 NFS 服务 器 与 客户 端的 使 用 者 账号 名 称 、UID 最 好 要 一 致 ， 可 以 避 
免 权 限 错 


配 : 
DNFS 服务 器 预 设 对 客户 端的 root 进行 权限 压缩 ， 通 常 压缩 其 成 为 
nfsnobody 或 nobody 。 


0 NFS 服务 器 在 更 动 /etc/exports 这 个 档案 之 后 ， 可 以 透 过 exportfs 这 
次 
| 


指令 来 重新 挂 载 分 享 的 目 孙 ! 
0 可 以 使 用 rpcinfo 来 观察 RPC program 之 间 的 关系 ! ! 1 
DD NFS 服务 器 在 设 定之 初 ， 就 必须 要 郑 虚 到 client 端 登 入 的 权限 问 


题 ， 很 多 


时 候 无 法 写 入 或 者 无 法 进行 分 享 ， 主 要 是 Linux 实体 档案 的 权限 设 定 
问题 所 致 


NES 客户 端 可 以 透 过 使 用 showmount, mount 与 umount 来 使 用 NFS 
主机 


提供 的 分 享 的 目录 ! 
DD NFS 亦 可 以 使 用 挂 载 参数 ， 如 bg, soft, rsize, wsize, nosuid, noexec， 
nodev 等 参数 ， 来 达到 保护 目 己 文件 系统 的 目标 ! 
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0 


| 
才 挂 


载 。 

13.6 本 章 习 题 

0 NFS 的 主要 配置 文件 为 何 ? 而 在 该 档案 内 主要 设 定 项 目 为 何 ? 
主要 的 配置 文件 为 /etc/exports 而 至 于 其 设 定 的 内 容 项 目 在 每 一 行当 中 
则 为 : 

1. 分 享 的 目录 


2. 针对 此 分 译 目 录 开 放 的 主机 或 IP 或 网 域 
3. 针对 这 部 主机 所 开放 的 权限 参数 ! 


0 在 NFS 主要 的 配置 文件 当中 仅 有 少许 的 参数 说 明 ， 至 于 预 设 的 参数 
说 明 则 


没有 在 该 档案 当中 出 现 ， 请问， 如 有 果 要 得 阅 更 详细 的 分 享 出 来 的 档案 
的 属性 ， 


要 看 那个 档案 ? 
/var/lib/nfs/etab 


0 在 dlient 端 如 有 果 要 挂 载 NFS 所 提供 分 至 的 档案 ， 可 以 使 用 那个 指 


令 ? 


那 自然 就 是 mount 啦 ! 还 有 御 除 是 umount 喔 ! 


0 在 NFS 主要 配置 文件 当中 ， 可 以 透 过 那个 参数 来 控制 不 让 client 端 
以 


root 的 号 份 使 用 你 所 分 享 出 来 的 目录 与 档案 ? 

可 以 在 /etc/exports 当中 的 参数 项 目 ， 设 定 『 root_squash J 来 控制 压 
缩 root 的 身份 喔 ! 

client 端 挂 载 了 NFS Server 的 某 个 目录 在 我 的 home/data 底 

当 我 执行 其 中 某 个 程序 时 ， 却 发 现 我 的 系统 被 破坏 了 ? 你 认为 可 能 的 
原因 为 何 ? 


该 如 何 殉 服 这 样 的 问题 ， 尤 其 钙 当 我 的 Client 端 主机 其 实 是 多 人 共生 
的 环境 ， 


人 其 他 的 使 用 者 也 同样 发 生 类 似 的 问题 呢 ? ! 


o 可 能 由 于 你 挂 载 进来 的 NFS Server 的 partition 当中 具有 SUID 


而 你 不 小 心 使 用 了 该 执行 档 ， 因 此 整 可 能 会 发 生 系统 被 
破坏 


的 问题 了 | 
o 可 以 将 挂 载 进 来 的 NFS 目录 的 SUID 功能 取消 ! 例如 : 
o 可 能 由 于 你 挂 载 进来 的 NFS Server 的 partition 当中 具有 SUID 


的 文件 属性 ， 而 你 不 小 心 合用 了 了 该 执行 档 ， 因 此 就 可 能 会 发生 系统 
破坏 


的 问题 了 ! 
o 可 以 将 挂 载 进 来 的 NFS 目录 的 SUID 功能 取消 ! 例如 : 


mount -t nfs -o nosuid,ro server:/directory /your/directory 
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13.7 参考 数据 与 延伸 阅读 

0 注 1: Sun ( 升 阳 ) 公司 已 经 被 甲骨 文 (Oracle) 公司 合并 了 ， 因 此 公司 
网 


址 改 于 : 
http://www.oracle.com/us/sun/index.html 
LD http:/www .faqs.org/rfcs/rfc1094.html 
鸟 可 这 里 的 备份 : 


http:/Ninux.vbird.org/linux server/0330nfs/0330nfs rpc.html 


0 http:/wwwtldp.org/HOWTIO/NFS-HOWTO/index.html 

[| man exports 

[| man autofs 

2002/11/17: 第 一 次 完成 

2003/03/09: 修改 部 分 内 容 ， 并 且 新 增 LPI 相关 性 与 重点 整理 部 分 
2003/09/10: 又 重新 修改 版 面 ， 以 及 新 增 主 机 的 规划 等 部 分 。 
2006/09/19: 将 旧 的 文章 移动 到 此 处 

2006/09/22: 加 入 了 autofs 等 等 的 数据 喔 ! 


2007/02/27: 原本 rsize 定义 为 8192， 但 最 近 看 一 些 文献 ， 应 该 改 为 
32768 比较 受 


7 
当 。 


2009/07/04: 在 最 后 的 案例 演练 部 分 ， 卫 不 可 使 用 星 号 (*) 的 通 配 
符 ! 感谢 十 论 六 


友 acer07 的 回报 ! 
2011/03/03: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 


2011/03/12: 修订 完成 了 ! 比较 大 的 问题 在 于 nfsnobody 可 能 有 时 并 不 
会 压缩 喔 ! 


2011/07/27: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 
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Vaz en 2 & nt [em | 3. NIS pa 


最 近 更 新 日 期 : 2011/07/28 


有 没有 想 过 ， 如 果 我 有 十 部 Linux 主机 ， 这 十 部 主机 仅 负责 不 同 的 功 
能 ， 事 实 上 ， 所 有 的 主机 账号 与 对 


应 的 密码 都 相同 ! 那么 我 是 将 账号 与 密码 分 别 设 定 置 在 十 部 计算 机 上 
面 ， 还 是 可 以 透 过 一 部 主机 做 为 账 


己 管 理 的 功能 ， 然 后 其 他 的 主机 只 要 当 用 户 用 登 和 时， 就 必须 要 到 管 
理 账 号 的 主机 上 面 确 认 其 账号 与 密 


码 呢 ? 哪 一 个 比较 方便 而 且 灵 活 ? 当然 是 找 一 个 账号 管理 的 主机 比较 
方便 的 多 啦 ! 如 果 有 用 户 要 修改 密 


码 ， 不 必要 去 到 十 部 主机 修改 密码 啦 ! 只 要 到 主要 管理 主机 去 修改 ， 
其 他 的 主机 根本 整 不 需要 更 动 ! 哈 


哈 ! 轻松 又 愉快 呢 ! 这 个 功能 的 达成 有 很 多 的 方式 ， 在 这 里 ， 我 们 介 
绍 一 个 很 简单 的 方式 ， 那 就 是 Network 


Information Service 这 个 NIS 服务 器 的 架设 啦 ! 


14.1 NIS 多 与 功能 


14.2 NIS server 端的 设 定 


14.2.1 所 需要 的 软 
14.2.2 NIS 服务 器 相关 的 配 
14.2.3 一 个 实 作 案 从 


14.2.4 NIS master 的 设 定 与 启 去 


14.3 NIS client 端的 设 定 
14.3.1 NIS client 所 需 软 件 与 软件 结 覆 


14.3.2 NIS client 的 设 定 与 启 去 


yptest, ypwhich, ypcat 
a 参数 修改 :_yppasswd,.ypchfn,.ypchsh 


14.4 NIS 搭配 NFS 的 设 定 在 丛 集 计生 a 

14.5 重点 回顾 

14.6 谍 后 练 > 

14.7 参考 数据 与 延伸 阅读 

14.8 FT J 建议 :_http://phorum.vbird.org/viewtopic.php?p=115269 
14.1 NIS 的 由 来 与 功能 


在 一 个 大 型 的 网 域 当中 ， 如 果 有 多 部 Linux 主机 ， 万 一 要 每 部 主机 都 
需要 设 定 相 


同 的 账号 与 密码 时 ， 你 该 怎么 办 ? 复制 /etc/passwd ? 应 该 没有 这 么 条 
吧 ? 如 采 能 够 


有 一 部 账号 主 控 服 务 器 来 管理 网 域 中 所 有 主机 的 账号 ， 当 其 他 的 主机 
有 用 户 登 和 的 需 


求 时 ， 才 到 这 部 主 控 服 务 右 上面 要 求 相 关 的 账号 、 密 码 等 用 户 信 息 ， 
如 此 一 来 ， 如 采 


想 要 增加 、 修 改 、 删 除 用 户 数 据 ， 只 要 到 这 部 主 控 服务 器 上 面 处 理 即 
可 ， 这 样 就 能 够 


降低 重复 设 定 使 用 者 账号 的 步骤 了 。 
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这 样 的 功能 有 很 多 的 服务 器 软件 可 以 达成 ， 这 里 我 们 要 介绍 的 则 十 


Network 


Information Services (NIS server) 这 个 服务 器 软件 喔 ! 确 下 束 先 来 谈 一 
谈 这 个 NIS 


的 相关 功能 吧 ! 

Tips: 

NIS 主要 提供 的 是 用 户 的 账号 、 密 码 、 家 目录 文件 名 、UID 等 信息 ， 
但 NIS 并 没有 提供 文件 系统 。 同 时 ， NIS 同样 使 用 前 一 章 谈 到 的 
RPC 服务 器 ， 因 此 在 本 章 开 始 前 ， 你 还 是 得 要 认识 一 下 第 十 三 章 谈 
到 的 NFS 与 RPC， 同时 你 还 得 要 知道 基础 学 习 篇 第 二 版 里 面 的 第 
士 四 童 账号 管理 ， 同时 也 得 了 解 一 下 基础 学 习 篇 第 二 十 二 章 
make/Makefile 的 信息 才 好 。 

14.1.1 NIS 的 主要 功能 : 管理 帐户 信息 

通常 我 们 都 会 建议 ， 一 部 Linux 主机 的 功能 越 单纯 越 好 ， 也 就 是 说 ， 


一 部 Linux 就 


专门 进行 一 项 服务 。 这 样 有 许多 的 好 处 ， 这 包含 功能 单纯 所 以 系统 次 
源 得 以 完整 运用 ， 


并 且 在 发 生 入 侵 或 者 是 系统 产生 状况 的 时 候 ， 也 比较 容易 追查 问题 所 
下 国 几 全 人 


司 内 部 常常 会 有 好 几 部 Linux 主机 ， 有 的 专门 负责 WWW 、 有 的 专门 
负责 Mail 、 有 的 


专门 负责 SAMBA 等 等 的 服务 。 


不 过 ， 这 样 虽然 有 分 散 风 险 、 容 易 追 踩 问 题 的 好 处 ， 但 是 ， 由 于 是 同 
一 个 公司 内 的 
多 部 主机 ， 所 以 事实 上 所 有 的 Linux 主机 的 账号 与 密码 都 是 一 样 的 ! 
哇 ! 那 如 果 公 司 
里 面 有 100 的 人 的 话 ， 我 们 束 需 要 针对 这 么 多 部 的 主机 去 设 定 账 号 密 
码 了 ! 而 且 ， 如 


林 未 来 还 有 新 进 员工 的 话 ， 那 么 光 是 设 定 密码 吏 会 使 系统 管理 员 抓 狂 
下 


这 个 时 候 ， 让 我 们 换 一 个 角度 来 思考 : 如 果 我 设计 了 一 部 专门 管理 账 
号 与 密码 的 服 

务 器 ， 而 其 他 的 Linux 主机 当 有 客户 端 要 登入 的 时 候 ， 吏 必须 要 到 这 
部 管理 密码 的 服 

务 器 来 查寻 用 户 的 账号 与 密码 ， 如 此 一 来 ， 我 要 管理 所 有 的 Linux 主 
机 的 账号 与 密码 ， 

只 要 到 那 部 主 服务 器 上面 去 进行 设 定 即 可 ! 包括 新 进 和 人 员 的 设 定 ， 反 
正 其 他 的 Linux 


主机 都 是 向 它 得 寻 的 嘛 ! 没 错 ! 真是 好 一 这 个 束 是 Network 
Information Service, NIS 


服务 需 的 主要 功能 啦 ! 

事实 上 ，Network Information Service 最 早 应 该 是 称 为 Sun Yellow Pages 
( 简 

称 yp), I Sun 这 家 公司 出 的 一 个 名 为 Yellow Pages 的 服务 絮 软 
件 ， 请 注 ; 


NIS 与 YP 是 一 模 一 样 的 吃 吃 喔 ! 这 个 Yellow Pages 名 字 取 的 真 
好 ! 怎么 说 呢 ? 知 


道 黄页 (Yellow Pages) 是 什么 吗 ? 就 是 我 们 家 里 的 电话 筹 啦 ! 今天 如 
果 你 要 查寻 一 


家 厂商 的 电话 号 人 码 ， 通 常 就 是 直接 去 查 黄页 上 面 的 纪录 来 取得 电话 号 
码 啊 ! 而 这 个 NIS 


也 一 样 ， 当 使 用 者 要 登入 时 ， Linux 系统 就 会 到 NIS 服务 器 上 面 去 找 
寻 这 个 使 用 的 账 


号 与 密码 信息 来 加 以 比 对 ， 以 提供 使 用 者 登入 之 用 的 检验 啊 ! 很 棒 
吧 ! AAA 


那么 NIS 服务 器 提供 了 哪些 信息 呢 ? 还 记得 账号 与 密码 放置 在 哪里 
吧 ? NIS 就 是 


ee 
儿 喔 : 
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/etc/passwd 


提供 用 户 账号 、UID、GID、 家 目录 所 在 、Shell 等 等 
/etc/group 

提供 群 组 数据 以 及 GID 的 对 应 ， 还 有 该 群 组 的 加 入 人 员 
/etc/hosts 

主机 名 与 IP 的 对 应 ， 第 用 于 private IP 的 主机 名 对 应 
/etc/services 

每 一 种 服务 (daemons) 所 对 应 的 塌 口 (port number) 
/etc/protocols 

基础 的 TCP/IP 封包 协定 ， 如 TCP, UDP, ICMP 等 
/etc/rpc 

每 种 RPC 服务 器 所 对 应 的 程序 号 码 

/var/yp/ypservers NIS 服务 器 所 提供 的 数据 库 


至 少 可 以 提供 上 述 这 些 功能 ， 当 然 啦 ， 你 也 可 以 自行 定义 哪些 数据 库 
需要 ， 哪 些 数据 库 


不 需要 ! 
14.1.2 NIS 的 运作 流程 : 透 过 RPC 服务 


由 于 NIS 服务 器 主要 是 提供 用 户 登入 的 信息 给 客户 端 主机 来 查询 之 
用 ， 所 以 ， NIS 


数据 当然 束 需 要 用 到 传输 与 读 写 比较 快速 的 "数据 库 " 
件 系 统 ， 而 


不 是 传统 的 纯 文 本 数据 。 为 了 要 达到 这 个 目的 ， 所 以 NIS 服务 器 束 必 
须要 将 前 一 小 市 


提 到 的 那些 档案 制作 成 为 数据 库 档 案 ， 然后 使 用 网 络 协议 让 客户 端 主 
机 来 查询 嚼 。 至 


于 所 使 用 的 通讯 协议 与 前 一 章 的 NES 相同 ， 都 使 用 远程 过 程 调用 
(RPC) 这 个 玩意 儿 哩 | 


此 外 ， 如 果 在 一 个 很 大 型 的 网 域 里 面 ， 万 一 所 有 的 Linux 主机 都 向 同 
一 部 NIS 服 


务 嚣 要求 用 户 数 据 时 ， 这 部 NIS 服务 器 的 负载 (oading) 可 能 会 过 大 。 
甚至 如 条 考 


虑 到 数据 使 用 的 风险 ， 要 是 这 单一 的 一 部 NIS 服务 絮 挂 点 时 ， 那 其 他 
的 Linux 主机 


还 要 不 要 计 users 登入 啊 ? 所 以 史 ， 在 较为 大 型 的 企业 环境 当中 ， 
NIS 服务 器 可 以 


使 用 master/slave ( 主 控 / 辅 助 服务 器 ) 架构 的 。 
Master NIS 服务 器 提供 系统 管理 者 制作 的 数据 库 ， slave 则 取得 来 自 


master 的 


数据 ， 并 藉以 提供 其 他 客户 端的 查询 。 客户 端 可 以 癌 整 个 网 域 要 求 用 
尸 资 料 的 啊 应 ， 


master 与 slave 缘 可 问答 ， 由 于 slave 的 数据 来 自 于 master ， 所 以 用 户 
账号 数据 


本 身 是 同步 的 ! 如 此 一 方面 可 以 分 散 NIS 服务 絮 的 负载 ， 而 且 也 可 以 
避免 因 NIS 服 


务 絮 挂 点 而 导致 的 无 法 登入 的 风险 。 
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1. 括 作 database 


取得 master 的 | database 得 master FJ database 
1 


， 二 1, 取 # 
2. 提供 slave 更 新 六 ef 
3. 提供 NIS client 查询 一生 


1. 
2. 7. 提供 NIS client 查 神 


向 整个 袖 域 的 
NIS server 网 播 


letc/shadow 


2.NIS 查 欧 


图 14.1-1、NIS 服务 句 与 客户 端的 运作 与 查询 方式 示意 图 


整个 NIS 的 运作 束 如 同上 图 ， 首 先 必须 要 有 NIS server 的 存在 ， 之 后 
才 会 有 NIS 


Client 的 存在 。 那么 当 使 用 者 有 登入 的 需求 时 ， 整 个 NIS 的 运作 程序 
是 : 


吕 关于 NIS Server (master/slave) 的 运作 程序 : 

1. NIS Master 先 将 本 身 的 账号 密码 相关 档案 制作 成 为 数据 库 档 案 ; 
2. NIS Master 可 以 主动 的 告知 NIS slave server 来 更 新 ; 

3. NIS slave 亦 可 主动 的 前 往 NIS master server 取得 更 新 后 的 数据 
库 档 案 ; 

4. 若 有 账号 密码 的 异动 时 ， 需 要 重新 制作 database 与 重新 同步 化 


master/slave 。 

D0 关于 当 NIS Client 有 任何 登入 查询 的 需求 时 : 

1.NIS client 车 有 登入 需求 时 ， 会 先 查 询 其 本 机 的 /etc/passwd,， 
/etc/shadow 等 档案 ; 

2. 者 在 NIS Client 本 机 找 不 到 相关 的 账号 数据 ， 才 开始 同 整个 NIS 
网 域 的 主机 广播 查询 ，; 

3. 每 部 NIS server (不 论 master/slave) 都 可 以 响应 ， 基 本 上 是 『 先 
响应 者 优先 〗。 


从 上 面 的 流程 当中 ， 你 会 发 现 NIS client 还 是 会 先 针 对 本 机 的 账号 数 
据 进 行 查询 ， 

若 本 机 查 不 到 时 才 到 NIS server 上 汰 寻找 。 因 此 ， 如 果 你 的 NIS client 
本 吴 就 有 很 


多 一 般 使 用 者 的 账号 时 ， 那 跟 NIS server 所 提供 的 账号 就 可 能 产生 一 
定 程 度 的 差异 喝 | 
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所 以 ， 一 般 来 说 ， 在 这 样 的 环境 下 ，NIS client 或 NIS slave server 会 主 
动 拿 挥 目 


己 本 机 的 一 般 使 用 者 账号 ， 仪 会 保留 系统 所 需要 的 root 及 系统 账号 而 
Cs MR 


一 般 使 用 者 才 都 会 经 由 NIS master server 所 控 管 啊 ! 人 和信 


看 图 14.1-1 的 说 明 ， 我 们 的 NIS 环境 大 致 上 需要 设 定 的 基本 组 


让 
牛 就 有 : 
NIS Master server : 将 档案 建 置 成 数据 库 ， 并 提供 slave server 来 更 
渐 ; 


ODNIS Slave server : 以 Master server 的 数据 库 作 为 本 身 的 数据 库 来 
源 ; 


UNIS dlient : 癌 master/server 要 求 登入 者 的 验证 数据 。 
就 如 同上 面 提 到 的 ， 在 大 型 环境 中 才 会 使 用 到 这 人 么 复杂 的 NIS 


master/slave 架构 。 


因此 ， 本 章 仅 会 介绍 NIS Master 的 建 置 ， 以 及 NIS client 的 设 定 而 
已 。 其 实 ，NIS 


服务 使 用 的 环境 大 概 越 来 越 仅 局 限 在 学 术 数 值 模 式 仿 真 的 丛 集 计算 机 
架构 中 (PC 


cluster)， 在 那样 的 架构 中 ， 老 实说 ， 乌 哥 认 为 仅 要 学 会 NIS master 即 
可 。 如 条 还 


有 其 他 账号 方面 的 要 求 ， 例 如 跨 平 台 的 帐户 信息 提供 ， 那 可 能 就 得 要 
参考 Samba 或 更 


进 阶 的 LDAP 才 好 哟 ! 这 里 我 们 不 谈 啦 一 现在 ， 束 让 我 们 开始 来 玩 一 
玩 这 个 NIS 的 设 


定 吧 
14.2 NIS Server 端的 设 定 


NIS 服务 右 端 主要 在 于 提供 数据 库 给 客户 端 作为 验证 之 用 ， 虽 然 NIS 
服务 器 类 型 


有 Master 与 Slave ， 不 过 乌 哥 这 里 介绍 的 并 不 是 大 型 企业 环境 ， 因 此 
仅 介绍 NIS 


master 的 设 定 而 已 啦 一 那 束 来 设 定 看 看 吗 | 
14.2.1 所 需要 的 软件 


由 于 NIS 服务 器 需要 使 用 RPC 协议 ， 且 NIS 服务 右 同 时 也 可 以 当成 
客户 痊 ， 


此 它 需 要 的 软件 束 有 的 下 这 几 个 : 
吕 yp-tools : 提供 NIS 相关 的 查寻 指令 功能 


0 ypbind : 提供 NIS Client 端的 设 定 软件 


0 ypserv : 提供 NIS Server 端的 设 定 软件 
Drpcbind : 就 是 RPC 一 定 需要 的 数据 啊 ! 


如 果 你 是 使 用 Red Hat 的 系统 ， 例 如 我 们 的 CentOS 6.x 的 话 ， 那 你 可 
以 利用 『 rpm 


-qa | grep yp' 」 来 检查 是 否 有 安装 上 述 的 软件 。 一 般 来 说 yp-tools， 
ypbind 都 


会 主动 的 安装 ， 不 过 ypserv 可 能 就 不 会 安 疾 了 。 此 时 建议 你 直接 使 用 
- yum install ypserv 4 来 安装 吧 ! 立刻 就 装 好 了 。 底 下 立刻 来 设 定 
net.qiang(Ohotmail.com 

必 

必 

14.2.2 NIS 服务 器 相关 的 配置 文件 


在 NIS 服务 器 上 最 重要 的 就 是 ypserv 这 个 软件 了 ， 但 是 ， 由 于 NIS 设 
定时 还 会 


Sd 因此 在 配置 文件 方面 需要 有 底下 这 些 
数据 喔 : 


吕 /etc/ypserv.conf: 这 是 最 主要 的 ypserv 软件 所 提供 的 配置 文件 ， 可 以 
规 


范 NIS 客户 端 是 否 可 登入 的 权限 。 
中 /etc/hosts: 由 于 NIS serverclient 会 用 到 网 络 主机 名 与 IP 的 对 应 ， 


因此 这 个 主机 名 对 应 档 就 显 的 相当 重要 ! 每 一 部 主机 名 与 IP 都 需要 记 
孙 才 行 ! 


D /etc/sysconfig/network: 可 以 在 这 个 档案 内 指定 NIS 的 网 域 


(nisdomainname) ° 


0 /var/yp/Makefile: 前 面 不 是 说 账号 数据 要 转 成 数据 库 文 件 吗 ? 这 就 


征 与 
建立 数据 库 有 关 的 动作 配置 文件 ; 
至 于 NIS 服务 器 提供 的 主要 服务 方面 有 确 下 两 个 : 


Dusrvsbin/ypserv: 就 是 NIS 服务 器 的 主要 提供 服务 ; 


吕 /usr/sbin/rpc.yppasswdd: 提供 额外 的 NIS 客户 端 之 用 户 密码 修改 服 
条 
7 》 


透 过 这 个 服务 ， NIS 客户 端 可 以 直接 修改 在 NIS 服务 部 上 的 密码 。 相 
天 的 使 用 


程序 则 是 yppasswd 指令 ; 
与 账号 密码 的 数据 库 有 关 的 指令 方面 有 底下 几 个: 


DAmsrvlib64/yp/ypinit: 建立 数据 库 的 指令 ， 非 常常 用 (在 32 位 的 系统 
下 


文件 名 则 是 /uswlib/yp/ypinit 喔 ! ); 
Dusvbin/yppasswd: 与 NIS 客户 端 有 关 ， 主 要 在 让 用 户 修改 服务 右上 


的 密 

人 码 。 

14.2.3 一 个 实 作 案例 

如 果 你 有 观察 过 图 14.1-1 的 话 ， 你 会 发 现 到 我 们 的 NIS 需要 设 定 
Master/Slave 及 client 等 ， 不 过 我 们 这 里 仅 介 绍 NIS master server 与 
NIS client 两 个 组 件 而 


已 ， 如 果 你 有 需要 额外 的 slave 的 话 ， 再 请 查阅 NIS 官网 的 介绍 喝 。 
底下 乌 哥 先 拟 


一 个 简单 的 案例 ， 做 完 案 例 我 们 再 来 谈 谈 实 际 可 能 会 使 用 于 从 集 计算 
机 的 案例 吧 ! 


0 NIS 的 域名 为 vbirdnis 
0 整个 内 部 的 信任 网 域 为 192.168.100.0/24 


DDNIS master server 的 IP 为 192.168.100.254 ， 主 机 名 为 
www.centos.vbird 
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名 

ODNIS client 的 卫 为 192.168.100.10， 主 机 名 为 
clientlinux.centos.vbird 

底下 我 们 束 一 个 一 个 来 设 定 吧 ! 


14.2.4 NIS server 的 设 定 与 启动 


NIS 服务 器 的 设 定 真 是 很 简单 ， 首 先 ， 你 必须 要 在 NIS 服务 右上 面 搞 
定 你 的 账号 


与 密码 相关 数据 ， 这 包括 /etc/passwd, /etc/shadow, /etc/hosts, /etc/group 


等 等 ， 都 得 要 先 搞定 才 行 ! 详细 的 账号 相关 资料 请 参考 基础 篇 的 第 十 
和 


章 账 号 管理 。 等 
到 搞定 之 后 你 就 可 以 继续 NIS 服务 器 的 设 定 了 : 
0 

1. 先 设 定 NIS 的 域名 (NIS domain name) 


NIS 是 会 分 领域 名 (domain name) 来 分 辨 不 同 的 账号 密码 数据 的 ， 因 此 
你 必须 要 


在 服务 器 与 客户 端 都 指定 相同 的 NIS 领域 名 才 行 。 设 定 这 个 NIS 领域 
名 的 动作 很 商 单 ， 


就 直接 编辑 /etc/sysconfig/network 即 可 ! 如 下 所 示 : 


[root@www ~]#vim /etc/sysconfig/network 


# 不 要 更 改 其 他 既 有 数据 ， 只 要 加 入 底下 这 几 行 即 可 : 
NISDOMAIN=vbirdnis <== 设 定 NIS 领域 名 
YPSERV_ARGS="-p 1011" <== 设 定 NIS 每 次 都 启动 在 固定 的 埋 口 


当然 ， 你 也 可 以 使 用 手动 的 方式 暂时 设 定好 你 的 NIS 领域 名 ， 透 过 的 
方法 忠臣 


个 于 


. . ‘~ Ep . . . 
nisdomainname 这 个 指令 。 (其 实 nisdomainname 与 ypdomainname 及 


domainname 


都 是 一 模 一 样 的 指令 啦 ! 你 只 要 记 住 一 个 指令 名 称 即 可 。 请 目 行 man 


domainname 吧 ! ) 


不 过 ， 这 个 指令 现在 大 概 只 用 来 检查 设 定 是 否 正确 ， 因 为 启动 NIS 服 
务 嚣 时， 服务 右 


去 抱 取 的 数据 殉 是 从 network 这 个 档案 里 面 提取 的 ! 所 以 只 要 改 这 个 
配置 文件 即 可 啊 ! 


和 由 于 未 来 想 使 用 iptables 直接 管理 NIS 的 使 用 ， 因 此 我 们 想 要 
宝 制 NIS 


启动 在 固定 的 塌 口 上 。 此 时 ， 就 使 用 TYPSERV_ARGS="-p 1011"J 
这 个 设 定 值 来 固定 塌 


口 在 1011 吧 ! 
2. 主要 配置 文件 /etc/ypserv.conf 


net.giang(@hotmail.com 


这 个 配置 文件 束 是 NIS 服务 右 最 主要 的 配置 文件 啦 ! 内 容 其 实 很 简 
单 ， 你 可 以 保 


留 默 认 值 即 可 。 不 过 ， 也 可 以 作 一 些 更 动 啦 ! 


Bel 


[root@www ~]# vim /etc/ypserv.conf 


dns: no 


# NIS 服务 器 大 多 使 用 于 内 部 局 域 网 络 ， 只 要 有 /etc/hosts 即 可 ， 不 用 
DNS 


啦 


files: 30 


# 上 默认 会 有 30 个 数据 库 被 读 人 内 存 当 中 ， 
其 实 我 们 的 账号 档案 并 不 多 ，30 个 


够 用 了 。 


xfr_check_port: yes 


# 与 master/slave 有 关 ， 将 同步 更 新 的 数据 库 比 对 所 使 用 的 端口 口 ， 放 
置 于 


<1024 内 。 


# 底下 则 是 设 定 限 制 客户 端 或 slave server 查询 的 权限 ， 利 用 冒号 隅 成 
四 部 


a 

#[ 主 机 名 /IP] : [NIS 域名 ] : [可 用 数据 库 名 称 ] : [安全 限制 ] 

# [主机 名 /PP] : 可 以 使 用 network/netmask 如 
192.168.100.0/255.255.255.0 

# [NIS 域名 ] :例如 本 案例 中 的 vbirdnis 

# [可 用 数据 库 名 称 ]: 就 是 由 NIS 制作 出 来 的 数据 库 名 称 ; 

# [安全 限制 ] : 包括 没有 限制 none)、 仅 能 使 用 <1024 (porb 及 拒 
绝 (deny) 

# 一 般 来 说 ， 你 可 以 依照 我 们 的 网 域 来 设 定 成 为 底下 的 模样 : 


127.0.0.0/255.255.255.0 : * : * ; none 


192.168.100.0/255.255.255.0 : * ; * ; none 


*;*; ;deny 


# 星 号 (*) 代表 任何 数据 都 接受 的 意思 。 上 面 三 行 的 意思 是 ， 开 放 lo 
内 部 


接口 、 
# 开放 内 部 LAN 网 域 ， 且 杜绝 所 有 其 他 来 源 的 NIS 要 求 的 意思 。 


# 还 有 一 个 简单 作法 ， 你 可 以 先 将 上 面 三 行 批 注 ， 然 后 加 入 底下 这 一 
行 即 可 : 


洲 : 洲 : 米 :TOne 


由 于 乌 哥 习惯 在 内 部 网 域 并 不 设 定 比较 闫 格 的 限制 ， 因 此 通常 乌 哥 都 
征 选 择 使 用 『* : 


* ;* ; none 4 那个 设 定 值 ! 然后 透 过 iptables 来 管控 可 使 用 的 来 源 就 
日 > > 
是 了 。 当 然 ， 


你 可 以 依据 你 的 需求 来 设 定 啦 ! 
0 
3. 设 定 主机 名 与 IP 的 对 应 (/etc/hosts) 


net.giang(@hotmail.com 


在 /etc/ypserv.conf 的 设 定 当 中 我 们 谈 到 NIS 大 部 分 是 给 局 域 网络 内 的 
主机 使 


用 的 ， 所 以 当然 就 不 需要 DNS 的 设 定 了 。 不 过 ， 由 于 NIS 使 用 到 很 
多 的 主机 名 ,但 是 


网 络 联机 透 过 的 是 耳 啊 ! 所 以 你 一 定 要 设 定好 /etc/hosts 里 面 的 主机 
名 与 IP 的 对 


应 ， 否 则 会 无 法 成 功 联机 NIS! 这 个 很 重要 ， 绝 大 部 分 的 朋友 无 法 达 
成 NIS 


server/client 的 联机 都 是 这 里 出 问题 而 已 。 依 据 本 案例 的 设 定 值 ， 你 应 
该 这 样 做 : 


[root@www ~]# vim /etc/hosts 

# 原本 就 有 的 localhost 与 127.0.0.1 之 类 的 设 定 都 不 要 更 动 ， 

只 要 新 增 数 

据 : 

192.168.100.254 www.centos.vbird 

192.168.100.10 clientlinux.centos.vbird 

[root@www ~]# hosthname 

www.centos.vbird 

# 再 做 个 确认 ， 确 定 输出 的 主机 名 与 本 机 IP 确实 有 写 入 /etc/hosts 喔 ! 


注意 ! 如 果 你 的 主机 名 (hostname) 与 NIS 的 主机 名 不 一 样 ， 那 么 在 这 
个 档案 当中 还 


征 需 要 将 你 的 主机 名 给 他 设 定 进来 ! 否则 在 后 面 数 据 库 的 设 定时 ， 肯 
定 会 发 生 问题 。 


当然 啦 ， 你 也 可 以 直接 在 /etc/sysconfig/network 当中 直接 重新 设 定 主 
机 名， 然后 重 


新 局 动 ， 或 者 是 利用 hostname 这 个 指令 重新 设 定 你 的 主机 名 也 可 以 。 
0 
4. 局 动 与 观察 所 有 相关 的 服务 


接 下 来 当然 是 先 局 动 所 有 相关 的 服务 哆 ， 这 包括 RPC, ypserv 以 及 
yppasswdd 02 |! 


不 过 ， 如 果 你 的 RPC 本 来 就 已 经 启动 的 话 ， 那 束 不 要 重新 启动 
rpcbind 了 ! 此 外 ， 为 


了 也 让 yppasswdd 局 动 在 固定 的 塌 口 ， 方 便 防 火 墙 的 管理 ， 因 此 ,我 
们 也 建议 你 可 以 


设 定 一 下 /etc/sysconfig/yppasswdd 喔 ! 

[root@www ~]# vim /etc/sysconfig/yppasswdd 
YPPASSWDD_ARGS="--port 1012" <== 找 到 这 个 设 定 值 ， 
修改 一 下 内 容 成 这 

样 ! 

[root@www ~]# /etc/init.d/ypserv start 

[root@www ~]# /etc/init.d/yppasswdd start 

[root@www ~]# chkconfig ypserv on 


[root@www ~]# chkconfig yppasswdd on 


注意 ， 主 要 的 NIS 服务 是 ypserv ， 不 过 ， 如 果 要 提供 NIS 客户 端的 密 
码 修改 功能 的 


话 ， 最 好 还 是 得 要 启动 yppasswdd 这 个 服务 才 好 。 在 启动 完毕 后 ， 我 
们 可 以 利用 


rpcinfo 来 检查 看 看 : 


net.giang(@hotmail.com 
[root@www ~]# rpcinfo -p localhost 


program vers proto port service 


100000 4 tcp 111 portmapper 
100000 4 udp 111 portmapper 
100004 2 udp 1011 ypserv 
100004 1 udp 1011 ypserv 
100004 2 tcp 1011 ypserv 
100004 1 tcp 1011 ypserv 
100009 1 udp 1012 yppasswdd 


# 其 他 不 相干 的 RPC 乌 哥 将 它 拿 挥 了 ， 与 NIS 有 天 的 至 少 要 有 上 面 这 
ba 


要 仔细 看 ， 


# 看 看 塌 口 是 否 为 我 们 规定 的 1011, 1012 ， 若 不 是 的 话 ， 得 要 修改 一 
下 配置 


义 件 。 


[root@www ~]# rpcinfo -u localhost ypserv 
program 100004 version 1 ready and waiting 


program 100004 version 2 ready and waiting 
很 多 时 候 ， 很 多 朋友 在 设 定 完 NIS 后 又 回去 设 定 NFS 了 ， 结 果 看 了 前 
一 章 的 介绍 ， 苋 


然 又 重新 局 动 rpcbind ， 这 将 导致 ypserv 的 注册 数据 被 注销 掉 。 因 
此 ， 使 用 上 述 的 


动作 来 检查 看 看 服务 有 没有 在 等 每 中 ， 要 看 到 如 上 的 『 束 绪 并 等 待 服 


务 」 才 会 是 正常 


的 吻 ! 
0 
5. 处 理 账号 并 建立 数据 库 


在 完成 了 上 面 的 所 有 步骤 后 ， 接 下 来 我 们 得 要 开始 将 主机 上 面 的 账号 
档案 转 成 数据 


库 档 案 啦 ! 不 过 ， 因 为 担心 与 NIS 客户 端的 账号 有 冲突 ， 加 上 之 前 我 
们 已 经 建 立 过 = 


些 账号 了 。 所 以 ， 这 里 我 们 建立 三 个 新 账号 ， 分 别 是 nisuser1， 
nisuser2, nisuser3 ° 


不 过 账号 主要 是 依据 UID 来 判断 的 啊 ! 因此 ， 我 们 使 用 大 于 1000 的 
UID 来 建立 这 二 


个 账号 喔 ! 


[rootOwww ~]# useradd -u 1001 nisuserl 
[root@wWwww ~]# useradd -u 1002 nisuser2 
[rootOwww ~]# useradd -u 1003 nisuser3 
[root@www ~1]# echo password | passwd --stdin nisuserl1 
[root@www ~]# echo password | passwd --stdin nisuser2 


[root@www ~]# echo password | passwd --stdin nisuser3 


接 下 来 ， 将 建立 的 帐 密 数 据 转 成 数据 库 吧 ! 转换 的 动作 直接 透 过 
/usr/lib64/yp/ypinit 


这 个 指令 来 处 理 即 可 ! 整个 步骤 是 这 样 做 的 ; 


net.giang(@hotmail.com 


[root@www ~]# /usr/lib64/yp/ypinit -mm 

At this point, we have to construct a list of the hosts which will run 
NIS 

servers. Www.centos.vbird is in the list of NIS server hosts. Please 
continue 

to add the names for the other hosts, one per line. When you are done 
with the 

list, type a <control D>. 

next host to add: www.centos.vbird <== 系 统 根据 主机 名 自动 捉 
取 

next host to add: <== 这 个 地 方 按 下 

[crtll-d 

The current list of NIS servers looks like this: 

www.centos.vbird 

Is this correct? [y/n: y] y 

We need a few minutes to build the databases... 

Building /var/yp/vbirdnis/ypservers... 

Running /var/yp/Maketfile... 

gmakel1]: Entering directory /var/yp/vbirdnis' 


Updating passwd.byname... 


Updating passwd.byuid... 

(中间 省 略 )…. 

gmake[1]: Leaving directory /varyp/vbirdnis' 
www.centos.vbird has been set up as a NIS master server. 


Now you can run ypinit -s www.centos.vbird on all slave server. 


要 注意 出 现 的 信息 当中 ， 在 告知 你 可 以 直接 输入 [ctrl]-d 以 结束 的 那个 
地 方 ， 你 的 


主机 名 会 主动 的 被 捉 出 来 ,注意 ! 这 个 主机 名 务必 需要 在 /etc/hosts 可 
以 被 找到 IP 


的 对 应 ， 否则 会 出 现 问题 。 另 外 ， 万 一 在 执行 ypinit -m 时， 出 现 如 下 
的 错误 ， 那 肯 


定 束 是 有 些 数 据 没有 修建 立 了 ! 


gmake[1]: *** No rule to make target /etc/aliases', needed by mail.aliases.'. 
Stop. 


gmakel1]: Leaving directory /var/yp/vbirdnis' 
make: *** [target] Error 2 

Error running Makefile. 

Please try it by hand. 

[root@www ~]# touch /etc/aliases 


net.giang@hotmail.com 


0 


0 

# 解决 方法 很 简单 呐 ! 缺少 什么 档案 ， 束 touch 他 束 古 了 ! 
[root@www ~]# /usr/lib64/yp/ypinit -mm 

# 然后 再 重新 执行 一 次 即 可 ! 

如 果 是 如 下 的 错误 ， 那 可 能 是 因为 : 

你 的 ypserv 服务 没有 顺利 启动 ， 请 利用 rpcinfo 检查 看 看 ; 
0 你 的 主机 名 与 卫 没有 对 应 好 ， 请 检查 /etc/hosts 

gmake[1]: Entering directory /varvyp/vbirdnis' 

Updating passwd.byname... 


failed to send 'clear to local ypserv: RPC: Program not registeredUpdating 
passwd.byuid... 


failed to send 'clear' to local ypserv: RPC: Program not registeredUpdating 
group.byname... 


以 ( 民 下 和 省略 


要 注意 啊 ， 如 采 你 的 用 户 密 码 有 变动 过 ， 那 么 你 束 得 要 重新 制作 数据 
库 ， 重 新 局 动 


ypserv 及 yppasswdd 喔 ! 注意 注意 啊 ! 整个 NIS 服务 器 这 样 束 给 搞定 
了 ， 有 没有 很 


简单 啊 ! 
14.2.5 防火 墙 设置 


又 来 到 了 防火 墙 的 规划 了 ! 要 注意 的 是 ， 我 们 的 NIS 与 NFS 都 是 使 用 
RPC Server 


的 ， 所 以 嚼 ， 除 了 上 述 谈 到 的 固定 塌 口 之 外 ， 你 还 得 要 开放 port 111 
才 行 。 假 设 你 


已 经 看 过 前 一 音 ， 而 且 是 使 用 乌 哥 的 iptables.rule 脚本 来 处 理 你 的 防火 
墙 ， 那 么 你 


可 以 修改 该 档 采 的 内 容 ， 新 增 几 条 规则 去 : 

[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $EXTIF -p tcp -s 192.168.100.0/24 --dport 1011 -j 
ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 192.168.100.0/24 -m multiport \ 
--dport 1011,1012 -j ACCEPT 

[root@www ~ |]# /usr/local/virus/iptables/iptables.rule 

# 和 干 万 记得 要 重 狐 建 置 防火 墙 规 则 啊 ! 

14.3 NIS Client 端的 设 定 
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我 们 知道 网 络 联机 是 双 加 的， 所 以 NIS server 提供 数据 库 档 案 ，NIS 


client 当 


然 也 需要 提供 一 些 联机 的 软件 哆 ! 这 个 联机 的 软件 殉 是 ypbind 啦 ! 此 
外 ， 如 辐 图 


14.1-1 的 介绍 ,在 NIS client 端 有 登入 需求 时 ，NIS client 基本 上 还 是 
先 搜寻 自己 


的 /etc/passwd, /etc/group 等 数据 后 才 再 去 找 NIS server 的 数据 库 啊 ! 所 
以 NIS 


client 最 好 能 够 将 本 号 的 账号 密码 删除 到 仪 镜 下 系统 账号 ， 亦 即 UID， 
GID 均 小 于 


500 以 下 的 账号 即 可 ， 如 此 一 来 既 可 让 系统 执行 无 误 ， 也 能 够 让 登入 
者 的 信息 完全 来 


自 NIS server ， 比 较 单纯 啦 ! 

Tips: 

事实 上 ， 你 想 要 让 NIS 服务 器 写 入 的 各 项 账号 数据 都 在 NIS 
server 的 /var/yp/Makefile 那个 档案 设 定 的 ! 你 可 以 进入 该 档 
案 搜寻 一 下 UID 就 知道 了 ! 人 和 

14.3.1 NIS client 所 需 软件 与 软件 结构 

NIS client 端 所 需要 的 软件 仅 有 : 

D ypbind 

0 yp-tools 


yp-tools 是 提供 查询 的 软件 ， 至 于 ypbind 则 是 与 ypserv 互相 沟通 的 客 
户 端 联 


机 软件 啦 ! 另外 ,在 CentOS 当中 我 们 还 有 很 多 配置 文件 是 与 认证 有 
他 全 ypbind 


的 配置 文件 时 ， 在 设 定 NIS client 你 可 能 需要 动 到 底下 的 档案 : 


DJ /etc/sysconfigmmetwork: 就 是 NIS 的 领域 名 嘛 ! 

/etc/hosts: 至 少 需要 有 各 个 NIS 服务 器 的 IP 与 主机 名 对 应 ; 

吕 /etc/yp.conf: 这 个 则 是 ypbind 的 主要 配置 文件 ， 里 面 主要 设 定 NIS 
服 


务 器 所 在 
D /etc/sysconfig/authconfig: 规范 账号 登入 时 的 允许 认证 机 制 ; 


中 /etc/pam.d/system-auth : 这 个 最 容易 态 记 ! 因为 账号 通常 由 PAM 模 


管理 ， 所 以 你 必须 要 在 PAM 模块 内 加 入 NIS 的 支持 才 行 ! 


中 /etc/nsswitch.conf : 这 个 档案 可 以 规范 账号 密码 与 相关 信息 的 查询 顺 
序 ， 


默认 是 先 找 /etc/passwd 再 找 NIS 数据 库 ; 


另外 ，NIS 还 提供 了 几 个 有 趣 的 程序 给 NIS 客户 端 来 进行 账号 相关 参 
数 的 修改 ， 


例如 密码 、shell 等 等 ， 主要 有 底下 这 几 个 指令 : 

0 /usr/bin/yppasswd : 更 改 你 在 NIS database (NIS Server 所 制作 的 数据 
库 ) 的 密码 

D /usr/bin/ypchsh : 同上 ， 但 是 是 更 改 shell 

DAsvbin/ypchfn : 同上 ， 但 是 是 更 改 一 些 用 户 的 讯 姑 ! 
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中 root@clientlinux:~ | ~ | 口 | x| 
连 特性) 编辑 巴 ) ”检视 ( 碎 视窗 (可 ) 选项 好) 说 明 (人 8) 
Text Mode Setup Utility 1].19.9 

Choose a Tool 


buthenticatlon confleuratlon 
Firewall conflguratlon 
Keyboard configeuration 
Network configuration 
System services 


ab>/<B1t-Tab;> between elements | | 
OK! 那么 底下 融 让 我 们 开始 来 设 定 NIS 客户 端 吧 ! 和 和 


14.3.2 NIS client 的 设 定 与 启动 


启动 NIS client 的 设 定 束 简单 多 了 ! 最 主要 是 加 入 NIS domain 当中 ， 
然后 再 局 


动 ypbind 即 可 。 虽然 你 可 以 手动 去 修改 所 有 的 配置 文件 ， 然 而 近期 以 
来 的 Linux 


distributions 账 豆 处 理 机 制 越 来 越 复杂 ， 所 以 如 采 你 想 要 手动 修改 所 有 
配置 文件 ， 


念 怕 会 疡 挥 的 一 因此 ， 这 里 建议 你 使 用 系统 提供 的 工具 来 设 定 ， 至 于 
一 些 重要 配置 文 


件 ， 最 后 有 机 会 再 去 参考 一 下 即 可 。 


那么 CentOS 6.x 提供 了 什么 好 用 的 管理 工具 呢 ? 很 简单 ， 就 利用 setup 
这 个 指 


令 即 可 ! 输入 setup 束 会 出 现 如 下 的 图 示 ， 然 后 依 序 这 么 处 理 束 好 了 
哆 |! 


图 14.3-1、 利 用 setup 进入 authconfig 认证 项 目 


记得 在 出 现 上 图 14.3-1 后 ， 选 择 认 证 设 定 ， 如 果 十 出 现 英 文 的 话 ， 那 
么 你 驳 得 要 


选择 『Authentication configurationJ 的 项 目 ， 之 后 就 会 进入 下 面 的 画 
面 : 
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root@clientlinox:~ [66x17] ~ | 口 | x| 


连 御 已) 编辑 驰 ) 梳 视 宦 ) 视窗 WD 选项 好 ) 讲 明 志 


User Information authenticatiomn 
] Use 地? Pass 


Use Fingerprint reader 国 
Tse Winb ind AnthentICcat on 
ocal authorlzatlion 1S sufficient 


root@clientlinox:~ [66x17] 
连 牺 (局 编辑 巴 ) 核 视 人 好) 视窗 QW 选项 人 @ 说 明 (8) 


authconflg-tul - I 


Donma in- HAETITE 
NEIYEI: 0 


a alt-Tab> between elements | <Space> selects | 
14.3-2、 进 入 authconfig 之 后 ， 选 择 NIS 项 目 


因为 我 们 要 用 NIS 作为 登入 者 身份 验证 的 机 制 ， 因 此 殉 得 要 选择 NIS 
项 目 ， 如 采 


是 英文 的 话 ， 得 要 选择 『Use NISJ 项 目 即 可 。 
14.3-3、 填 写 NIS 领域 以 及 NIS 服务 器 的 IP 即 可 


最 后 再 填写 NIS 网 域 (Domain) 以 及 NIS 服务 絮 的 IP (Server)， 按 下 确 
定 即 可 。 


如 果 系统 很 快 的 束 跳 回 图 14.3-1 的 画面 ， 代 表 你 的 设 定理 论 上 是 没有 
问题 的 。 如 于 


一 直 卡 在 如 下 的 画面 中 : 

正在 激活 rpcbind: [确定 ] 

正在 关闭 NIS 服务 ，[ 确 

定 ] 

正在 启动 NIS 服务 : [ 确 

定 ] 

正在 绑 定 NIS 服务 : .……. <== 这 里 一 直 卡 住 ， 没 办 法 结束 
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上 述 的 数据 就 古 出 问题 啦 ! 那 代表 你 的 NIS client 没有 办 法 连接 上 NIS 


SerIVer， 取 


常 发 生 的 就 是 服务 器 的 防火 墙 忘 记 放 行 ， 或 者 是 你 客户 端 输入 服务 器 
IP 时 ， 打 错 数字 


了 一 那 也 是 很 常 发 生 的 错误 啦 ! 这 时 请 目 行 去 修改 一 番 吧 ! 那么 这 个 
setup 到 底 做 了 


什么 修改 呢 ? 我 们 也 来 看 看 几 个 被 改 掉 的 重要 配置 文件 吧 : 


[root@clientlinux ~]# cat /etc/syscontfig/network 
HOSTNAME=clientlinux.centos.vbird 

NETWORKING=yes 

GATEWAY=192.168.100.254 

NISDOMAIN=vbirdnis <== 这 个 玩意 儿 会 主动 的 被 建立 起 来 
[root@clientlinux ~]# cat /etc/yp.conf 

.…( 表 面 省 略 ).…. 

domain vbirdnis server 192.168.100.254 <== 主 动 建立 这 玩意 儿 一 
[root@clientlinux ~]# vim /etc/nsswitch.conf 

passwd: files nis 

shadow: files nis 

group: files nis 

hosts: files nis dns 


# 上 面 几 个 项 目 是 比较 重要 的 ， 包 括 身 份 参数 、 密 码 、 群 组 名 、 主 机 
名 与 IP 对 


应 数据 等 。 
# 你 会 看 到 ， 每 个 项 目 后 面 都 会 接着 nis ， 所 以 nis 有 被 文 持 嗓 


因为 更 动 到 的 档案 实在 太 多 了 ， 所 以 乌 哥 还 是 建议 使 用 setup 来 调整 
即 可 。 但 是 ， 如 


宁 你 夏 的 想 要 手动 处 理 的 话 ， 那么 你 必须 要 手动 生 修 故 底下 这 些 相 


中 /etc/sysconfig/network (加 入 NISDOMAIN 项 目 ) 

吕 /etc/nsswitch.conf (修改 许多 主机 验证 功能 的 顺序) 

D /etc/sysconfig/authconfig (CentOS 的 认证 机 制 ) 

D /etcpam.d/system-auth (许多 登入 所 需要 的 PAM 认证 过 程 ) 
D /etc/yp.conf ( 亦 即 是 ypbind 的 配置 文件 ) 

14.3.3 NIS client 端的 检验 :，yptesb ypwhich, ypcat 


如 何 确 定 NIS client 已 经 连 上 NIS server 呢 ? 基本 上 ， 只 要 刚刚 使 用 
setup 去 


设 定时 ， 最 后 的 步 又 并 没有 被 卡 住 ， 那 应 该 束 是 顺利 成 功 啦 ! 该 步 又 
会 目 动 局 动 

rpcbind 与 ypbind 两 个 服务 哆 ! 那 如 何 确认 数据 传送 是 正确 的 ? 简单 
的 要 命 啊 ! 你 


可 以 利用 id 这 个 指令 直接 检查 NIS server 有 的 ， 但 是 NIS client 没有 
的 账号 ， 如 


果 有 出 现 该 账号 的 相关 UID/GID 信息 时 ， 那 表示 数据 传输 也 是 正确 
的 。 除 此 之 外 ， 我 


们 还 可 以 透 过 NIS 提供 的 相关 检验 功能 来 检查 喔 ! 抵 下 分 别 来 瞧 一 
瞧 : 
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利用 yptest 检验 数据 库 之 测试 : 

直接 在 NIS client 输入 yptest 即 可 检查 相关 的 测试 数据 ， 如 下 所 示 : 


[root@clientlinux ~]# yptest 

Test 1: domainname 

Configured domainname is "vbirdnis" 
Test 2: ypbind 

Used NIS server: www.centos.vbird 
Test 3: yp_match 

WARNING: No such key in map (Map passwd.byname, key nobody) 
…( 中 间 省 略 )..… 

Test 6: yp_master 

www.centos.vbird 

…( 中 间 省 上 略 )..… 

Test 8: yp_maplist 

passwd.byname 

protocols.byname 

hosts.byaddr 

hosts.byname 

…( 中 间 省 略 )..… 

Test 9: yp_all 


nisuserl 
nisuser1l:$1$U9Gccb60$K5IDQ.mGBw9x40o0NEkMOLz/:1001:1001::/home/ 
nisuser1:/bin/bash 


(中间 省 略 ).…. 
1 tests failed 


从 这 个 测试 当中 我 们 可 以 发 现 一 些 错误 ， 就 是 在 Test 3 出 现 的 那个 警 
告 信息 啦 。 还 好 ， 


那 只 是 说 没有 该 数据 库 而 已 一 该 钳 误 是 可 以 包 略 的 。 重 点 在 第 9 个 步 
又 yp_all 必须 


要 有 列 出 你 NIS server 上 头 的 所 有 帐户 信息 ， 如 采 有 出 现 账 号 相 关 数 
据 的 话 ， 那 么 应 


该 就 算 验证 成 功 了 ! 
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Tips: 
比较 有 问题 的 是 第 三 步骤 ， 他 会 出 现在 passwd.byname 当中 找 不 到 
nobody 的 字样 。 这 是 因为 早期 的 nobody 之 UID 都 设 定 在 

65534 ， 但 CentOS 则 将 nobody 设 定 为 系统 账号 的 99 ， 所 以 当 
然 不 会 被 记录 ， 也 就 出 现 这 一 个 警告 。 不 过 ， 这 个 错误 是 可 忽略 的 
啦 ! 

0 

利用 ypwhich 检验 数据 库 数量 


单纯 使 用 ypwhich 的 时 候 显 示 的 是 『NIS Client 的 domainJ 名 称 ， 而 
当 加 赤 : 运 


这 个 参数 时 ， 则 是 显示 『NIS Client 与 Server 之 间 沟 通 的 数据 库 有 哪 
些 ? 4 你 可 以 


这 样 测试 哩 ! 

[root@clientlinux ~]# ypwhich -x 

Use "hosts" for map "hosts.byname" 
Use "group" for map "group.byname" 
Use "passwd" for map "passwd.byname" 
…( 以 下 省 上 略 )..… 


由 上 面 我 们 可 以 很 清楚 的 就 看 到 相关 的 档案 啦 ! 这 些 数据 库 档 案 则 是 
放置 在 我 的 NIS 


Server 的 /varyp/vbirdnis/* 里 面 哎 ! 
UD 
利用 ypcat 读 取 数据 库 内 容 


除了 yptest 之 外 ， 你 还 可 以 直接 利用 ypcat 读 取 数据 库 的 内 容 喔 ! 一 
般 作 法 是 


这 样 : 
[root@clientlinux ~]# ypcat [-h nisserver] [数据 库 名 称 ] 
选项 与 参数 : 


-h nisserver : 如 果 有 设 定 的 话 ， 指 问 某 一 部 特定 的 NIS 服务 属 ， 


如 果 没 有 指定 的 话 ， 束 以 ypbind 之 设 定 为 主 ; 
数据 库 名 称 : 亦 即 在 /var/yp/vbirdnis/ 内 的 档 名 啊 ! 例如 


passwd.byname 


# 读 出 passwd.byname 的 数据 库 内 容 


[root@clientlinux ~]# ypcat passwd.byname 
net.giang(@hotmail.com 


0 


这 三 个 指令 在 进行 NIS Client 端的 检验 时 ， 是 相当 有 用 的 喔 ! 不 要 忽 
略 了 他 的 存在 啊 ! 


尤其 古 刚 架设 好 NIS Client 时 ， 一 定 要 使 用 yptest 去 检查 看 看 有 没有 
设 定 错误 喔 ! 


根据 屏 人 幕 显示 的 讯息 去 一 个 一 个 校正 错误 才 行 啊 ! 
14.3.4 使 用 者 参数 修改 : yppasswd, ypchfn, ypchsh 


好 了 ， 完 成 了 上 述 的 设 定 后 ， 你 的 NIS server/client 的 账号 已 经 同步 
了! 明定 


高 兴 不 是 吗 ? 不 过 ， 还 有 个 挺 大 的 问题 ， 那 就 是 ... 使 用 者 如 何在 NIS 
client 修改 他 


自己 的 登入 参数 ， 例 如 密码 、shell 等 等 9 因为 NIS client 是 藉 由 数据 
库 来 取得 用 


户 的 账号 密码 ， 那 如 何在 NIS 客户 端 处 理 账 号 密码 的 订正 ? 


问 的 好 ! 这 也 是 为 何 我 们 需要 在 NIS server 启动 yppasswdd 这 支 服务 
的 主要 用 


意 ! 因为 yppasswdd 可 以 接收 NIS client 端 传 来 的 密码 修改 ， 厌 此 而 
处 理 NIS 


server 的 /etc/passwd, /etc/shadow ， 然后 yppasswdd 还 能 够 重建 密码 数 
据 库 ， 


让 NIS server 同步 更 新 数据 库 ! 真是 很 不 错 啊 ! 信人 


那 该 如 何 下 达 指 令 呢 ? 很 简单 啊 ! 透 过 yppasswd, ypchsh, ypchfn 来 处 
理 即 可 。 


这 三 个 指令 的 对 应 是 : 


D yppasswd : 与 passwd 指令 相同 功能 


0D ypchfn : 与 chfn 相同 功能 ; 
Dypchsh : 与 chsh 相同 功能 


因为 功能 相当 ， 所 以 乌 哥 这 里 仅 说 明 一 下 yppasswd 而 已 。 假 设 你 已 经 
登入 NIS 


client 那 部 主机 ， 并且 是 以 nisuserl 这 个 使 用 者 登入 的 ， 记 住 ， 这 个 
用 户 相关 数据 


仅 在 NIS server 上 。 接 下 来 ， 这 个 使 用 者 可 以 下 达 yppasswd ， 如 下 所 
柯 汪 


[root@clientlinux ~]# grep nisuser /etc/passwd <== 不 会 出 现任 何 讯 晨 ， 


为 无 此 账号 
[root@clientlinux ~]# su - nisuserl <== 直 接 切 换 身 份 看 看 ! 
su: warning: cannot change directory to /home/nisuser1: No such file 


or directory 


-bash-4.1$ id 
uid=1001(nisuser1) gid=1001(nisuser1) groups=1001Cnisuser1) 
# 因为 我 们 client.centos.vbird 仅 有 帐户 信息 ， 并 没有 用 户 家 目录 ， 


# 所 以 就 会 出 现 如 上 的 警告 ， 因 此 才 需 要 用 id 给 证， 并 且 需 要 加 挂 
NFS 啊 ! 


# 仔细 看 ， 现 在 的 号 份 确实 是 nisuserl 喔 ! 确实 有 连 上 NIS server 啦 ! 


-bash-4.1$ yppasswd 
Changing NIS account information for nisuserl on www.centos.vbird. 
Please enter old password: <== 这 里 输入 旧 密 码 
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Changing NIS password for nisuserl on www.centos.vbird. 

Please enter new password: <== 这 里 输入 新 密码 

Please retype new password: <== 再 输入 一 通 

The NIS password has been changed on www.centos.vbird. 
-bash-4.1$ exit 

嘿嘿 ! 如 何 ， 这 样 束 更 新 了 NIS server 上 头 的 /etc/shadow 以 及 


/varyp/vbirdnis/passwd.by* 的 数据 库 ， 简单 吧 ! 一 下 子 就 同步 化 了 。 
不 过 ， 如 二 


要 教育 使 用 者 使 用 yppasswd 的 话 ， 他 可 能 不 太 能 适应 ， 不 要 紧 ， 你 
可 以 透 过 修改 


alias 或 者 是 置换 掉 /usr/bin/passwd 这 文 程序 即 可 ! 那 现 在 让 我 们 回 到 
NIS 服务 器 


端 看 看 真 的 有 更 动 到 数据 库 吗 ? 


[root@www ~]# 1] /var/yp/vbirdnis/ 


-TW------- . 1 root root 13836 Jul 28 13:10 netid.byname 
-TW------- . 1 root root 14562 Jul 28 13:29 passwd.byname 
-TW------- . 1 root root 14490 Jul 28 13:29 passwd.byuid 
-TW------- . 1 root root 28950 Jul 28 13:10 protocols.byname 
# 仔细 看 ， 

就 是 那个 密码 档案 被 更 动 过 ~ 时间 已 经 不 一 样 了 ! 

再 看 看 登录 档 吧 | 


[root@www ~]# tail /var/log/messages 

Jul 28 13:29:14 www rpc.yppasswdd[17071]: update nisuserl] (uid=1001) 
from host 

192.168.100.10 successful. 


最 终 从 登录 档 里 面 ， 我 们 也 能 够 得 到 相关 的 记录 ! 这 样 束 非常 完美 


啦 ! 和信 信 
14.4 NIS 搭配 NFS 的 设 定 在 丛 集 计算 机 上 的 应 用 


刚刚 在 NIS 客户 端的 nisuserl 登入 测试 中 ， 你 应 该 已 经 发 现 了 一 件 
事 ， 那 束 是 


怎么 nisuserl 没有 家 目 了 永 啊 ? 这 很 正常 啊 ! 因为 nisuserl 的 家 目录 是 
在 服务 絮 端 的 


/home 上头 ， 而 你 在 客户 端 登 入 时 ， 在 客户 端的 /home 改 下 根本 不 可 


能 有 nisuser1 


的 家 目 孙 嘛 ! 那 怎 办 ? 很 简单 ， 将 服务 器 闻 的 home 挂 载 到 客户 端 上 
面 即 可 啊 ! 那 这 


个 观念 跟从 集 计算 机 有 了 蛤 关系 啊 ? 束 让 我 们 来 谈 谈 吧 ! 
0 
什么 是 从 集 计算 机 ? 
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因为 个 人 计算 机 的 CPU 速度 越 来 越 快 ， 核 心 数目 越 来 越 多 ， 因 此 个 人 
计算 机 的 效 


能 已 经 不 比 服务 右 等 级 的 大 型 计算 机 差 了 ! 不 过 ， 如 果 要 用 来 作为 计 
算 大 型 数值 模式 

的 应 用 ， 即 使 是 最 快 的 个 人 计算 机 ， 还 是 没有 办 法 有 效 的 负荷 的 。 此 
时 你 可 能 束 得 要 孝 


虑 一 下 ， 是 要 买 超级 计算 机 (Top 500) 还 是 要 自己 组 一 部 PC 从 集 计算 
机 (PC 


cluster) ° 


主要 是 透 过 内 部 电路 将 好 多 颗 CPU 与 内 存 连 接 
在 二 决 ; 


为 是 特殊 设计 ， 因 此 价格 非常 昂贵 。 如 采 我 们 可 以 将 较 便宜 的 个 人 计 
算 机 串 接 在 一 块 ， 


然后 将 数值 运算 的 任务 分 别 丢 给 每 一 部 串 接 在 一 块 的 个 人 计算 机 ， 那 
不 束 很 像 超级 计 


算 机 了 吗 ? 没 错 ! 这 就 是 PC cluster 最 早 的 想法 。 


但 是 这 个 作法 当中 有 几 个 限制 哩 ， 因 为 每 部 计算 机 都 需要 运算 相同 的 
程序 ， 而 我 们 


知道 运算 的 数据 都 在 内 存 当 中 ， 而 程序 局 动 时 需要 给 予 一 个 号 份 ， 而 
程序 读 取 的 程序 


在 每 部 计算 机 上 面 都 需要 是 相同 的 ! 同时 ， 每 部 计算 机 都 需要 支持 平 
行 化 运算 ! 所 以 


在 PC cluster 上 面 的 所 有 计算 机 就 得 要 有 : 

DD 相同 的 用 户 帐 户 信 息 ， 包 括 账号 、 密 码 、 家 目录 等 等 一 大 堆 信 息 .; 

0D 相同 的 文件 系统 ， 例 如 /home, /varspoolMmail 以 及 数值 程序 放置 的 位 
置 


0 可 以 搭配 的 平行 化 函 式 库 ， 常 见 的 有 MPICH, PVM... 


上 面 的 三 个 项 目 中 ， 第 一 个 项 目 我 们 可 以 透 过 NIS 来 处 理 ， 第 二 个 项 
目 则 可 以 使 


用 NFS 来 搞定 一 所 以 嗓 ， 你 说 ， NIS 与 NFS 有 没有 可 使 用 的 空间 
啊 ? 信和 信 


Tips: 
由 于 【预测 J」 这 个 玩意 儿 越 来 越 重 要 ， 比 如 说 气象 预报 、 空 气质 量 


预报 等 等 ， 而 预测 需要 一 个 很 庞大 的 模式 来 进行 仿真 的 工作 ， 这么 

庞大 的 模拟 工作 需要 大 量 的 运算 ， 在 学 校 单位 要 买 一 部 很 贵 的 大 型 

主机 实在 很 不 容易 ! 不 过 ， 如 果 能 够 串 接 十 部 四 核心 的 个 人 计算 机 

的 话 ， 那么 可 能 只 需要 不 到 20 万 便 能 够 组 成 相当 于 具有 40 颗 

CPU 的 大 型 主机 的 运算 能 力 了 ! 所 以 说 ， 在 未 来 PC cluster 是 一 

个 可 以 发 展 的 课题 喔 | 

男 一 个 不 成 材 的 实例 

那 我 们 有 没有 办 法 来 实 作 一 下 平行 化 的 丛 集 架 构 呢 ? 老实 说 ， 很 麻烦 


~ 不 过 ， 至 少 


我 们 可 以 先 完成 前 面谈 到 的 两 个 组 件 ! 分 别 是 NIS 与 NFS 嘛 ! 但 
是 ， 在 我 们 目前 这 


个 网 络 环境 中 ， 用 户 账 号 实在 是 太 率 乱 了 一 所 以 ， 如 果 想 要 将 服务 恬 
的 /home 挂 载 到 


客户 端的 home， 那 么 那个 测试 用 的 客户 端 可 能 很 多 本 地 用 户 都 无 法 
登入 了 一 因此 ,在 


这 个 测试 练习 中 ， 我们 打算 这 样 做 : 
账号， 建立 大 于 2000 以 上 的 账号 ， 账 号 名 称 为 cluserl, cluser2， 


cluser3 


(将 cluster user 缩写 为 cluser， 不 是 少 写 一 个 t 喔 ! )， 且 这 些 账号 的 家 


录 预 计 放置 于 /rhome 目录 内 ， 以 与 NIS dlient 本 地 的 用 户 分 开 ; 
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DNIS 服务 器 : 领域 名 为 vbirdcluster， 服 务 器 是 www.centos.vbird 
(192.168.100.254)， 客 户 端 是 clientlinux.centos.vbird (192.168.100.10); 


D NFS 服务 器 : 服务 器 分 享 了 /rhome 给 192.168.100.0/24 这 个 网 域 ， 
且 预 


UM /cluster 目录 中 。 此 外 ， 假 设 所 有 客户 端 都 是 很 
干净 的 


系统 ， 因 此 不 需要 压缩 客户 端 root 的 身份 。 


DD NFS 客户 端 : 将 来 目 server 的 文件 系统 都 挂 载 到 相同 目 了 永 名称 底 
| 


那 就 分 别 来 实 作 一 下 咀 ! 
0 
NIS 实 作 阶 段 


#1. 建立 此 次 任务 所 需要 的 账号 数据 : 


[root@www ~]# mkdir /rhome 

[rootOwww ~]# useradd -u 2001 -d /rhome/cluser] cluser1 
[rootOwww ~]# useradd -u 2002 -d /rhome/cluser2 cluser2 
[rootOwww ~]# useradd -u 2003 -d /rhome/cluser3 cluser3 
[root@www ~]# echo password | passwd --stdin cluser1 
[root@www ~]# echo password | passwd --stdin cluser2 


[root@www ~]# echo password | passwd --stdin cluser3 


# 2. 修改 NISDOMAIN 的 名 称 


[root@www ~]#vim /etc/sysconfig/network 


NISDOMAIN=vbirdcluster <== 重 点 在 改 这 个 项 目 喔 ! 


这 个 案例 中 ， 你 只 要 做 完 上 述 的 动作 束 即 将 完成 了 ， 其 他 的 配置 文件 
请 参考 前 面 14.2 


节 所 谈 到 的 各 个 必要 项 目 。 接 下 来 当然 束 是 重新 局 动 ypserv 以 及 制作 
数据 库 哎 ! 


# 3. 制作 数据 库 以 及 重新 局 动 所 需要 的 服务 : 


[rootOwww ~]# nisdomainname vbirdcluster 
[root@www ~]# /etc/init.d/ypserv restart 
[root@www ~]# /etc/init.d/yppasswdd restart 
[root@www ~]# /usr/lib64/yp/ypinit -mm 


依 序 一 个 一 个 指令 下 达 ! 上 述 的 这 四 个 指令 稍微 有 相依 性 关系 的 ! 所 
以 不 要 错乱 了 顺序 


喔 ! 接 下 来 ， 请 换 到 客户 端 进行 : 

1. 以 setup 进行 NIS 的 设 定 ， 在 领域 的 部 分 请 转 为 vbirdcluster 才 对 ! 
2. 做 完 后 再 以 id cluserl 确认 看 看 。 

作法 太 简 单 了 ， 乌 可 这 里 就 不 示范 喝 。 
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NFS 服务 右 的 设 定 

#1. 设 定 NFS 服务 器 开放 的 资源 : 
[root@www ~]# mkdir /cluster 

[root@www ~]# vim /etc/exports 

/rhome 192.168.100.0/24(rw,no_root_squash) 
/cluster 192.168.100.0/24(rw,no_root_squash) 
# 2. 重新 局 动 NFS 哎 : 

[root@www ~]# /etc/init.d/nfs restart 
[root@www ~]# showmount -e localhost 
Export list for localhost: 

/rhome 192.168.100.0/24 

/cluster 192.168.100.0/24 

服务 器 的 设 定 是 很 单纯 的 一 客户 端的 设 定 得 要 注意 哆 ! 


#1. 设 定 NIS Client 的 mount 数据 | 


[root@clientlinux ~]# mkdir /rhome /cluster 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/rhome /rhome 
[root@clientlinux ~]# mount -t nfs 192.168.100.254:/cluster /cluster 


# 如 果 上 壕 两 个 指令 没有 问题 ， 可 以 将 他 加 入 /etc/rc.d/rc.local 当中 
呵 ! 


[root@clientlinux ~]# su - cluser1 


[cluserl@dlientlinux ~]$ 


最 后 你 应 该 束 能 够 在 客户 端 以 cluserl 登入 系统 ! 束 这 么 简单 的 将 账号 
与 文件 系统 同 


步 做 完 啦 ! 如 采 你 真 的 想 要 玩 一 下 PC Cluster 的 话 ， 马 哥 也 有 写 过 
篇 不 是 很 成 熟 的 


PC cluster 简易 架设 ， 有 兴趣 的 话 请 自行 参考 : 


14.5 重点 回顾 


0D Network Information Service (NIS) 也 可 以 称 为 Sun Yellow Pages 
(yp)， 


主要 是 负责 在 网 域 当 中 帮忙 NIS Client 端 查寻 账号 与 密码 以 及 其 他 相 
关 网 络 


参数 的 服务 ; 
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NIS server 其 实 束 是 提供 本 刁 的 /etc/passwd, /etc/shadow, /etc/group, 


/etc/hosts 等 账号 密码 数据 ， 以 及 相关 的 网 络 参数 等 ， 以 提供 网 域 当中 
NIS 


Client 的 搜寻 之 用 ; 
DNIS 为 server/client 架构 ， 当 NIS client 有 账号 登入 需求 时 ， 该 主机 


会 (1) 先 找 上 自己 的 /etc/passwd, (2) 再 前 往 NIS server 搜寻 相关 账号 资 
料 。 


0 NIS 使 用 的 软件 束 是 yp 这 个 软件 ， 主 要 分 为 两 部 份 ， ypserv 用 在 
NIS 


Server， 至 于 ypbind 与 yp-tools 则 用 在 NIS Client 上 面 。 


0 为 加 快 NIS 查询 的 速度 ， 因 此 NIS server 会 将 本 机 的 账号 数据 制 成 
传输 


较 快 的 数据 库 档 案 ， 并 放置 于 /var/yp/(nisdomainname)/ 目录 当中 


0 不论 是 NIS 或 者 是 NFS 都 是 厌 由 RPC Server 所 局 用 的 ， 因 此 都 可 
以 使 用 


rpcinfo 来 查寻 NIS 是 否 已 经 司 动 ， 以 及 该 daemon 是 否 已 经 向 
portmapper 


(RPC serven 注册 了 | 


在 NIS Server 的 设 定 当 中 ， 最 重要 的 一 个 步 又 就 是 将 账号 、 密 码 、 
网 络 参 


数 等 ASCII 格式 档案 转 成 数据 库 档 案 (database file)， 以 提供 NIS client 


查寻 ! 而 启动 ASCII 转 成 database 的 程序 可 以 使 用 /usrlib64/yp/ypinit 
-m 或 者 到 /var/yp 底下 执行 make 均 可 。 

0 由 于 NIS 通常 使 用 于 内 部 网 域 当 中 ， 因 此 /etc/hosts 这 个 档案 的 设 定 
相 


当 重 要 | 


0 者 想 让 使 用 者 在 任 一 部 NIS 管辖 的 主机 登入 都 可 以 使 用 同一 份 家 目 
孙 ， 则 


需 开启 NFS 提供 /home 给 所 有 的 主机 挂 载 使 用 


14.6 本 章 习 题 
0D 请 简单 说 明 NIS server 的 功能 与 工作 流程 
党 你 有 多 闻 其 有 相同 几 王 的 Linux 主机 时 ， 即 可 利用 NIS 所 提供 的 服 


7 ， 


来 利用 一 部 NIS 主机 掌控 所 有 的 linux 主机 的 登入 时 所 需 查阅 的 账号 
与 密码 


验证 。 流 程 如 下 : 

1. NIS Server 将 上 自己 系统 内 的 /etc/passwd, /etc/group， 

/etc/hosts 等 制作 成 为 DBM 的 数据 库 格式 档案 ; 

2. NIS Client 若 有 用 户 登 入 的 要 求 时 ， 会 前 往 NIS Server 搜寻 数据 
库 里 面 的 数据 做 为 验证 之 用 。 

3. 每 次 更 动 NIS Server 上 面 的 用 户 数据 时 ， 则 NIS Server 需要 重新 
制作 DBM 数据 库 档 案 才 行 ! 


0 请 简单 说 明 NIS Serverclient 的 架构 


NIS master/client 的 特色 为 : 

1. NIS Server 的 master 先 将 自己 的 帐号、 密码 相关 档案 制作 成 为 数 
据 库 档案 (database file); 

2. NIS Server 的 master 将 目 己 的 数据 库 档 案 传送 到 slave 上 面 ; 
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3. NIS Server 的 slave 接收 来 自 『 信 任 的 NIS Server master 主机 .J 


的 数据 后 ， 更 新 目 己 的 数据 库 ， 使 目 己 的 数据 库 与 master 主机 的 数据 
同 


步 ; 

4. 网 域 当中 的 所 有 NIS Client 查寻 NIS Server 时 ， 会 找寻 『 最 先 响 
应 的 那 一 部 NIS 主机 的 数据 库 内 容 J4 。 

也 就 是 说 ， 架 设 slave NIS server 可 以 分 担 区 域内 NIS 的 工作 ! 


0 NIS 局 动 之 前 需要 先 局 动 那 个 服务 ， 否 则 束 无 法 局 动 成 功 (提示 : 
RPC 


Server) 

因为 NIS 是 RPC Server 的 一 种 ， 所 以 必须 要 局 动 rpcbind 这 个 daemon 
可 行 | 

我 的 NIS 域名 为 bird ， 男 外 ， 我 主机 的 IP 与 主机 名 为 


192.168.5.1/bird.nis.org ， 请 问 要 这 些 信息 需要 设 定 在 NIS Server 的 哪 
上 


档案 之 内 ? 
域名 可 以 直接 手动 下 达 『 nisdomainname bird 」 也 可 以 写 入 


/etc/sysconfig/network 里 面 『NISDOMAIN=birdJ4; IP 与 主机 名 需要 
写 入 


在 /etc/hosts 里 面 。 
D /etc/nsswitch.conf 的 功能 为 何 ? 如 果 我 想 要 让 密码 查寻 先 本 地 的 密码 
文 


件 ， 再 查寻 NIS ， 需 要 如 何 设 定 ? 


该 档案 的 功能 很 多 ， 在 DNS 方面 ， 可 以 用 来 决定 正 、 反 解 的 顺序 ， 至 


于 窗 


码 则 可 以 用 来 判断 何者 为 先 ! 如 有 果 和 需要 先 查 本 机 再 查 NIS 的 密码 时 ， 
需要 的 参 


数 : 
passwd: files nis 


shadow: files nis 


0 如 采 我 想 要 增加 网 域 当 中 一 个 新 的 账号 : newaccount， 并 且 这 个 


newaccount 

可 以 让 NIS Client 查寻 到 他 的 账号 与 密码 ， 需 要 进行 哪些 步骤 ? 
1. 移 登 入 NIS Server 以 useradd newaccount 以 及 passwd 
newaccount 来 新 增 账 号 ; 

2. 制作 密码 数据 库 : Tusrvlib64/yp/ypinit -md 

3. 重新 局 动 : fT /etc/rc.d/init.d/ypserv restart ; 
/etc/rc.d/init.d/yppasswdd restartJ 。 

0 实 作 范 例题 ， 底 下 是 我 的 网 域 参 数 特征 : 
network/netmask:192.168.1.0/255.255.255.0 

NIS server : 192.168.1.100 (hostname: server.nis.test) 

NIS cient: 192.168.1.200 (hostname: clientl.nis.test) 


NIS domain name: nis.test 


利用 上 面 的 参数 来 设 定 NIS 架构 ， 请 一 步 一 步 的 写 下 你 的 设 定 。 
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请 自行 参考 本 章节 的 内 容 设 定 
14.7 参考 数据 与 延伸 阅读 


0 Study Area 之 NIS 服务 器 架设 : 


http:/www.study-area.org/linux/servers/linux nfs.htm 

DNIS 官方 网 站 :_http:/www.linux-nis.org/ 

UL NIS HOW-IO: http:/www.linux-nis.org/nis-howto/HOWTO/index.html 
2003/05/06: 第 一 次 完成 日 期 ! 

2003/09/16: 稍微 加 入 一 些 信息 与 微 幅 修 改版 面 ! 

2006/09/22: 将 旧 的 文章 移动 到 此 处 

2006/10/11: 啊 ! 过 了 好 久 了 ! 修改 过 程 当中 历经 搬家 ， 所 以 文章 产生 


较 慢 啊 ! 这 次 多 
加 入 NIS slave server 说 | 
2011/03/13: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2011/03/16: 因为 NIS 快要 被 LDAP 取代 ， 所 以 将 比较 复杂 的 slave 部 
分 删 去 了 一 


2011/07/28: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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第 | 五 音 时 间 服务 器 : NTP 服务 器 
最 近 更 新 日 期 : 2011/07/29 


计算 机 内 部 所 记录 的 时 钟 是 记载 于 BIOS (CMOS) 内 的 ， 但 如 果 你 的 计 
算 机 上 面 的 电池 没 电 了 ， 或 者 是 某 
些 特殊 因素 导致 BIOS 数据 被 清除 ， 此 时 计算 机 的 时 间 束 会 不 准 。 同 
时 ， 某 些 操作 系统 程序 的 问题 ， 也 


可 能 导致 我 们 看 到 的 时 间 与 现实 社会 不 相同 的 情况 。 所 以 我 们 都 会 调 
整 一 下 时 间 ， 好 让 计算 机 系统 的 时 


间 可 以 一 直 保 持 正 确 的 状态 。 在 实际 生活 中 ， 我 们 可 以 透 过 电视 台 、 
广播 电台 、 电 话 等 等 来 调整 我 们 的 


手表 ， 那 么 如 果 是 在 网 络 上 呢 ? 该 如 何 让 我 们 的 主机 随时 保持 正确 的 
时 间 信 息 ? 这 就 需要 NTP 这 个 服 


15.1.2 什么 是 夏季 蔬 约 时 间 (daylight savings)?_ 


15.1.3 Coordinated Universal Time (UTC) 与 系统 时 间 的 误差 
15.1.4 NTP 通讯 协议 
15.1.5 NTP 服务 器 的 阶层 概念 


15.2.1 所 需 软件 与 软件 结 检 


15.2.2 主要 配置 文件 ntp.conf 的 处 理 


15.2.3 NTP 的 启动 与 观察 :_ ntpstat, ntpgq 


1524 委 全 性 设 定 


15.4 重点 回顾 

15.5 诛 后 练 > 

15.6 参考 数据 

15.7 针对 本 文 的 建议 :http:/phorum.vbird.org/viewtopic.php?p=117976 
15.1 天 于 时 区 与 网 络 校 时 的 通讯 协议 


时 间 对 于 现代 人 来 说 是 很 重要 的 ， 因 为 『 Time is money 4 。 既 然 时 间 
如 此 重要 ， 


对 于 因特网 来 说 应 该 也 是 很 重要 吧 ? 为 什么 呢 ? 还 记得 我 们 在 基础 学 


人 一 
2 = 


九 童 、 登 录 档 分 析 吧 ?_ 如 果 你 架设 了 一 个 登录 档 服务 器 的 话 ， 那 么 总 
得 要 分 析 每 个 主 


机 所 传 来 的 登录 文件 信息 吧 ? 如 条 每 一 部 主机 的 时 间 都 不 相同 ， 那 如 
何 判断 问题 发 生 


的 时 间 点 ? 所 以 路 ，『 每 一 部 主机 的 时 间 同 步 化 4 殉 很 重要 了 。 


每 一 部 主机 时 间 同 步 化 的 重要 性 当然 不 只 如 此 ， 包 括 之 前 谈 到 的 
DHCP 客户 端 / 服 


务 器 端 所 需要 的 租约 时 间 限 制 、 网 络 侦 测 时 所 需要 注意 的 时 间 点 、 刚 
刚 谈 到 的 登录 文 


net.giang@hotmail.com 


件 分 析 功 能 、 具 有 相关 性 的 主机 彼此 之 间 的 错误 侦 测 、 前 一 章 谈 到 的 
从 集 计算 机 群 等 等 ， 


都 需要 具有 相同 的 时 间 才 能 够 捉 出 问题 呢 。 好 了 ， 拘 下 咀 们 就 来 聊 一 
聊 ， 如 何 利 用 网 络 


来 进行 主机 的 时 间 同 步 化 吧 
15.1.1 什么 是 时 区 ? 全球 有 多 少时 区 ? GMT 在 那个 时 区 ? 


因为 地 球 是 圆 的 ， 所 以 同一 个 时 刻 ， 在 地 球 的 一 边 是 日 天 ， 一 边 是 黑 
夜 。 而 因为 人 


类 使 用 一 天 24 小 时 的 制度 ， 所 以 ， 在 地 球 对 角 的 两 边 就 应 该 差 了 12 
个 小 时 才 对 。 由 


于 同一 个 时 间 点 上 面 ， 整个 地 球 表 面 的 时 间 应 该 都 不 一 样 ， 为 了 解决 
这 个 问题 ， 所 以 


可 以 想见 的 ， 地 球 束 补 分 成 24 个 时 区 了 | 


那么 这 24 个 时 区 是 依据 什么 来 划分 的 呢 ? 由 于 地 球 被 人 类 以 『 经 纬 
度 4 坐标 来 进 


行 定位 ， 而 经 度 为 零 的 地 点 在 英国 【格林 威 褒 J4 这 个 城市 所 在 的 纵 剖 
面 上 ，( 注 : 所 


请 的 纵 天 面 就是 由 南极 切 到 北极 的 直线 ， 而 横 切 面 束 是 与 赤道 平行 的 
切线 )， 如 下 图 所 


未 : 
15.1-1、 地 球 的 子午 线 、 经 纬度 与 时 区 的 分 隔 概 念 


因为 绕 地 球 一 圈 是 360 度 角 ， 这 360 度 角 共 分 为 24 个 时 区 ， 当 然 一 个 
时 区 束 古 


15 度 角 啦 ! 又 由 于 是 以 格林 威 治 时 间 为 标准 时 间 (Greenwich Mean 
Time, GMT 时 间 )， 


加 上 地 球 目 转 的 天 系 ， 因 此， 在 格林 威 治 以 东 的 区 域 时 间 是 比较 快 的 
(+ 小 时 )， 而 以 西 


的 地 方 当然 束 是 较 慢跑 ! 


以 台湾 为 例 ， 因 为 台湾 所 在 地 约 为 东经 120 上 度 北 纬 25 度 左 右 ， 又 因为 
台湾 在 格 

林 威 治 的 东方 (废话 ! 因为 是 东经 嘱 ! ^ 入 ， 因 此 台湾 本 地 时 间 (local 
time) 会 比 

GMT 时 间 快 8 小 时 (GMT + 8)。 当 格林 威 治 时 间 为 零点 ， 人 台湾 就 已 经 
pe 


底下 约略 列 出 各 个 时 区 的 名 称 与 所 在 经 度 ， 以 及 与 GMT 时 间 的 时 
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标准 时 区 

经 度 

时 差 
net.giang(@hotmail.com 
GMT , Greenwich Mean Time 
0 W/E 

标准 时 间 

CET , Central European 
15E 

4 条 党 区 

EET , Eastern European 
30FE 

+2 东 二 区 

BT , Baghdad 

45E 

#3 六 三 -| 区 


USSR, Zone 3 


60E 

+4 东 四 区 

USSR, Zone 4 

75E 

+5 东 五 区 

Indian, First 

82.3E 
+5.5 东 五 半 区 
USSR, Zone 5 

90 下 

+6 东 六 区 

9ST, South Sumatra 
105E 

#47 东 了 七 区 

JI , Java 

112E 
+7.5 东 七 半 区 
CCT , China Coast (台湾 所 在 地 ) 


120E 


+8 东 八 区 

JST , Japan 

135E 

+9 东 九 区 

SAST, South Australia 
142 下 
+9.5 东 九 半 区 
GST , Guam 

150E 

+10 东 十 区 

NZT , New Zealand 
180E 

+12 东 十 二 区 
国际 日 期 变更 
Intl Date Line 

180 E/W 

线 

B9T ,Bering 

165 W 


了 曾 下 二 区 


SHST, Alaska/Hawaiian 
150 W 
-10 西 十 区 
YST, Yukon 
135 W 

-9 西 九 区 
PST , Pacific 
120 W 

-8 西 八 区 
MST , Mountain 
105 W 

-7 西 七 区 
CST , Central 
90 W 

-6 西 六 区 
EST , Eastern 
75 W 

-5 西 五 区 
AST , Atlantic 


60 W 


-4 西 四 区 
Brazil, Zone 2 

45 W 

-3 两 二 区 

AT , Azores 

30 W 

-2 西 二 区 

WAT , West Africa 
15W 

-1 西 一 区 

所 以 哆 ， 人 台湾 时 间 是 GMT + 8 就 很 容易 推算 出 来 了 吧 ! 要 特别 留意 的 


古 ， 很 多 朋 


友 在 安 疼 Linux 的 时 候 ， 辟 古 会 发 现 目 前 的 时 间 慢 或 者 快 了 8 小 时 ， 
不 要 怀疑 ， 绝 


对 与 时 区 有 天 ! 赶紧 给 他 查 一 下 如 何 调整 时 区 吧 ! 和 人。 
net.giang@hotmail.com 
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另外 ， 在 上 表 中 有 个 比较 有 趣 的 时 区 ， 那 就 是 在 太平 洋 上 面 的 国际 日 
期 变更 线 了 ! 


我 们 刚刚 说 ， 在 格林 威 治 的 东边 时 间 会 较 快 ， 而 在 西边 时 间 会 较 慢 ， 
但 是 两 边 各 走 了 


180 度 之 后 束 会 碰头 啊 ! 那 不 束 刚好 差 了 24 小 时 吗 ? 没 错 啦 ! 所 以 才 
订 定 为 『 国 际 


日 期 变更 线 4 啊 ! 国际 日 期 变更 线 刚好 在 太平 洋 上 面 ， 因 此 ， 如 琳 你 
有 坐 飞机 到 美国 的 


经 验 应 该 会 发 现 ， 吓 ! 怎么 出 发 的 时 间 和 是 星期 六 下 午 ， 坐 了 13 个 小 时 
的 飞机 到 了 美 


国 还 十 星期 六 ! 因为 刚好 通过 了 国际 日 期 变更 线 ， 日 期 减少 了 一 天 
喔 ! 如 果 反 过 来 ， 


由 美国 到 台湾 ， 日 期 就 会 多 加 一 天 喔 ! ^ 人 和 
15.1.2 什么 是 夏季 节约 时 间 (daylight savings)? 


时 区 的 概念 先 建立 起 来 之 后 ， 现 在 再 来 谈 一 谈 ， 那 么 什么 是 『 夏 季节 
约 时 间 (或 称 


日 区 节约 时 间 )4 ? 既然 是 了 夏季 和 约 时 间 J4 当然 主要 是 与 夏天 有 头 
啦 ! 因为 地 球 在 运 


行 的 时 候 是 哇 现 一 个 倾斜 角 在 绕 太 阳 运 转 的 ， 所 以 才 有 春 夏 秋冬 (这 个 
大 家 应 该 都 知道 


啦 )， 在 夏天 的 时 候 ， 白 天 的 时 间 会 比较 长 ， 所 以 为 了 市 约 用 电 ， 因 此 
在 夏天 的 时 候 某 


些 地 区 会 将 他 们 的 时 间 定 早 一 小 时 ， 也 束 是 说 ， 原 本 时 区 是 8 点 好 
了 ， 但 是 因为 夏天 


太阳 比较 早出 现 ， 因 此 把 时 间 辐 前 挪 ， 在 原本 8 点 的 时 候 ， 订 定 为 该 
天 的 9 点 (时 间 


提早 一 人 小时) 一 如 此 一 来 ， 我们 束 可 以 利用 阳光 照明 ， 省 去 了 花费 电力 
的 时 间 ， 因 此 才 


会 称 之 为 夏季 证 约 时 间 ! 


因为 台湾 实在 是 太 小 了 ， 并 没有 模 跨 两 个 时 区 ， 因 此 ， 夏 季 广 约 时 间 
对 我 们 来 说 ， 


虽然 还 是 有 帮助 啦 ! 不 过 ， 似 乎 没有 特别 推行 的 样子 说 一 
15.1.3 Coordinated Universal Time (UTO) 与 系统 时 间 的 误差 


了 解 了 一 些 时 区 的 概念 之 后 ， 这 里 要 谈 的 是 『 什 么 是 正确 的 时 间 J 。 
在 1880 年 


代 的 时 间 标 准 是 以 GMT 时 间 为 主 的 ， 但 是 GMT 时 间 是 以 太阳 通过 格 
林 威 治 的 那 一 刻 来 


作为 计时 的 标准 。 然 而 我 们 都 知道 啊 ， 地 球 目 转 的 轨道 以 及 公转 的 轨 
道 并 非 正 圆 ， 加 


上 地 球 的 自转 速度 好 像 有 逐年 递减 的 问题 ， 所 以 这 个 GMT 时 间 与 我 
们 目前 计时 的 时 间 


束 有 点 不 一 样 了 。( 注 了 


在 计算 时 间 的 时 候 ， 最 准确 的 计算 应 该 是 使 用 『 原 子 晨 沪 周期 4 所 计 
算 的 物理 时 钟 


了 (Atomic Clock, 也 被 称 为 原子 钟 )， 这 也 被 定义 为 标准 时 间 


(International Atomic 


Time)。 而 我 们 常常 看 见 的 UTC 也 惑 是 Coordinated Universal Time ( 协 
和 标准 时 间 ) 


束 古 利用 这 种 Atomic Clock 为 基准 所 定义 出 来 的 正确 时 间 。 例 如 1999 
年 在 美国 启用 


的 原子 钟 NIST F-1， 他 所 产生 的 时 间 误 差 每 两 和 于 年 才 差 一 秒 钟 ! 真 的 
是 很 准 呐 ! 这 个 


UTC 标准 时 间 虽 然 与 GMT 时 间 放 在 同一 个 时 区 为 基准 ， 不 过 由 于 计 
时 的 方式 不 同 ，UTC 


时 间 与 GMT 时 间 有 差不多 16 分 钟 的 误差 呢 ! ( 注 2) 
net.giang@hotmail.com 
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事实 上 ， 在 我 们 的 身边 束 有 很 多 的 原子 钟 ， 例 如 石英 表 ， 还 有 计算 机 
主机 上 面 的 


BIOS 内 部 束 含 有 一 个 原子 钟 在 纪 采 与 计算 时 间 的 进行 呐 ! 不 过 由 于 原 
子 钟 主 要 是 利用 


计算 心 片 (crystal) 的 原子 震荡 周期 去 计时 的 ， 这 是 因为 每 种 心 片 都 有 有 自 
己 的 独特 的 


展 淘 周期 之 故 。 然 而 因为 这 种 心 厂 的 震荡 周期 在 不 同 的 心 片 之 间 多 多 
少 少 都 会 有 点 才 


异性 ， 甚 至 同一 批 芯片 也 可 能 会 或 多 或 少 有 些许 的 差异 (就 连 温度 也 可 
能 造成 这 样 的 误 

差 呢 )， 因 此 也 就 造成 了 BIOS 的 时 间 会 经 常 的 给 他 快 了 几 秒 或 者 慢 了 
几 秒 。 


或 许 你 会 认为 ，BIOS 定时 器 每 天 快 个 五 秒 也 没有 什么 了 不 起 的 ， 不 过 
如 果 你 再 仔 


细 的 算 一 算 ， 会 发 现 ， 一 天 快 五 秒 ， 那 么 一 个 月 快 2.5 分 钟 ， 一 年 束 快 
了 75 分 钟 了 ! 


所 以 说 ， 呵 呵 ! 时 间 差 是 真 的 会 存在 的 ! 那么 如 采 你 的 计算 机 真 的 有 
这 样 的 情况 ， 那 


要 怎么 来 重新 校正 时 间 呢 ? 那 就 需要 『 网 络 校 时 ](Network Time 
Protocol, NTP) 的 


功能 了 1! 底下 我 们 惑 谈 一 谈 那 个 NTP 的 daemon 吧 | 


15.1.4 NTP 通讯 协议 


老实 说 ， Linux 操作 系统 的 计时 方式 主要 是 由 1970/01/01 开始 计算 总 


此 ， 如 果 你 还 记得 date 这 个 指令 的 话 ， 会 发 现 它 有 个 +%s 的 参数 ， 可 
以 取得 总 秒 效 ， 


这 个 就 是 软件 时 钟 。 但 ， 如 同 前 面 说 的 ， 计 算 机 硬件 主要 是 以 BIOS 内 
部 的 时 间 为 主要 


的 时 间 依 据 (硬件 时 钟 )， 而 偏偏 这 个 时 间 可 能 因为 BIOS 内 部 必 片 本 身 
的 问题 ， 而 导 


致 BIOS 时 间 与 标准 时 间 (UTC) 有 一 点 点 的 差异 存在 ! 所 以 为 了 避免 
主机 时 间 因 为 长 


期 运作 下 所 导致 的 时 间 偏 差 ， 进 行 时 间 同 步 (synchronize) 的 工作 就 显 
的 很 重要 了 ! 


0 软件 时 钟 : 由 Linux 操作 系统 根据 1970/01/01 开始 计算 的 总 秒 数 ; 
0 硬件 时 钟 : 主机 硬件 系统 上 面 的 时 钟 ， 例 如 BIOS 记录 的 时 间 ; 
那么 怎么 让 时 间 同 步 化 呢 ? 想 一 想 ， 如 果 我 们 选择 几 部 主要 主机 


(Primary server) 


调 校 时 间 ， 让 了 这些 Primary Servers 的 时 间 同 步 之 后 ， 再 开放 网 络 服 务 
来 让 Client 病 

联机 ， 并 且 提 供 Client 端 调 整 自 己 的 时 间 ， 不 就 可 以 达到 全 部 的 计算 
机 时 间 同 步 化 的 


运作 了 吗 ! 那么 什么 协议 可 以 达到 这 样 的 功能 呢 ? 那 融 是 Network 


Time Protocol ， 


另外 还 有 Digital Time Synchronization Protocol (DTSS) 也 可 以 达到 相同 
的 功能 |! 


不 过 ， 到 压 NTP 这 个 daemon 是 如 何 让 Server 与 Client 同步 他 们 的 时 
间 呢 ? 


1. 首先 ， 主 机 当然 需要 启动 这 个 daemon ， 之 后 ， 
2. Client 会 向 NTP Server 发 送出 调 校 时 间 的 message ， 
3. 然后 NTP Server 会 送出 目前 的 标准 时 间 给 Client ， 


4. Client 接收 了 来 目 Server 的 时 间 后 ， 会 据 以 调整 目 己 的 时 间 ， 残 达成 
下 


网 络 校 时 咯 ! 


在 上 面 的 步 又 中 你 有 没有 想到 一 件 事 啊 ， 那 融 是 如 果 Client 到 Server 
的 讯 娠 传 


送 时 间 过 长 怎么 办 ? 举例 来 说 ， 我 在 台湾 以 ADSL 的 PC 主机 ， 联 机 到 
美国 的 NTP 


Server 主机 进行 时 间 同 步 化 要 求 ， 而 美国 NTP Server 收 到 我 的 要 求 之 
后 ， 就 发 送 当 


时 的 正确 时 间 给 我 ， 不 过 ， 由 美国 将 数据 传送 回 我 的 PC 时 ， 时 间 可 
能 已 经 延迟 了 10 


net.giang@hotmail.com 


0 


秒 钟 去 了 ! 这 样 一 来 ， 我 的 PC 校正 的 时 间 是 10 秒 钟 前 的 标准 时 间 
喔 ! 此 外 ， 如 有 果 美 


国 那么 NTP 主机 有 太 多 的 人 喜欢 上 去 进行 网 络 校 时 了 ， 上 所 以 loading 
( 负 傈 ) 太 重 啦 ! 


导致 讯 县 的 回 传 又 延迟 的 更 为 挛 重 ! 那 怎么 办 ? 


为 了 这 些 延 迟 的 问题 ， 有 一 些 program 已 经 开发 了 自动 计算 时 间 传 送 
过 程 的 误差 ， 


以 更 准确 的 校准 目 己 的 时 间 ! 当然 啦 ， 在 daemon 的 部 分 ， 也 同时 以 


server/client 及 


master/slave 的 架构 来 提供 用 户 进 行 网 络 校 时 的 动作 ! 所 谓 的 
master/slave 就 有 点 


类 似 DNS 的 系统 咯 ! 举例 来 说 ， 台 湾 的 标准 时 间 主 机 去 国际 标准 时 间 
的 主机 校 时 ， 然 


后 各 大 专 院 校 再 到 台湾 的 标准 时 间 校 时 ， 然 后 我 们 再 到 各 大 专 院 校 的 
标准 时 间 校 时 ! 这 


样 一 来 ， 那 几 部 国际 标准 时 间 主 机 (Time server) 的 loading 就 不 至 于 太 
大 ， 而 我 们 


也 可 以 很 快速 的 达到 正确 的 网 络 校 时 的 目的 呢 ! 台湾 常见 的 Time 
Server 有 ( 注 3) : 


DU tick.stdtime.gov.tw 
DU tock.stdtime.gov.tw 
[| time.stdtime.gov.tw 
DU clock.stdtime.gov.tw 


[] watch.stdtime.gov.tw 


至 于 ntp 这 个 daemon 是 以 port 123 为 连结 的 埋 口 (使 用 UDP 封包 )， 所 
以 我 


们 要 利用 Time server 来 进行 时 间 的 同步 更 新 时 ， 束 得 要 使 用 NTP 软件 
提供 的 


ntpdate 来 进行 port 123 的 联机 喔 ! 关于 网 络 校 时 更 多 的 说 明 ， 可 以 到 
NTP 的 官方 


网 站 ( 注 4) 上 察看 喔 ! 
15.1.5 NTP 服务 器 的 阶层 概念 


如 前 所 述 ， 由 于 NTP 时 间 服 务 占 采用 类 似 阶层 架构 (stratum) 来 处 理 时 
间 的 同步 


化 ， 所 以 他 使 用 的 是 类 似 一 般 server/dlient 的 主 从 架构 。 网 络 社 会 上 面 
有 提供 一 些 


主要 与 次 要 的 时 间 服 务 郁 ， 这 些 均 属 于 第 一 阶 及 第 二 阶 的 时 间 服 务 天 


(stratum-1, 
stratum-2) ， 如 下 所 示 : 
0 主要 时 间 服 务 絮 : 


由 于 这 些 时 间 服 务 右 大 多 在 国外 ， 所 以 我 们 是 否 要 使 用 这 些 服 务 紫 来 
同步 化 自己 的 


时 间 呢 ? 其 实 如 果 台 湾 地 区 已 经 有 标准 时 间 服 务 絮 的 话 ， 用 那 部 即 
可 ,不 需要 联机 到 


国外 啦 ! 浪费 带 冤 与 时 间 啊 ! 而 如 前 面 提 到 的 ， 台 湾 地 区 已 经 有 标准 
的 时 间 服 务 右 了 ， 


所 以 当然 我 们 可 以 直接 选择 台湾 地 区 的 NTP 主机 即 可 。 


如 果 你 评估 一 下 ， 确 定 有 架设 NTP 的 需求 时 ， 我 们 可 以 直接 选择 台湾 
地 区 的 上 层 


NTP 来 同步 化 时 间 即 可 。 举例 来 说 tock.stdtime.gov.tw 这 个 国家 单位 的 
主机 应 该 是 
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比较 适合 的 。 一 般 来 说 ， 我 们 在 进行 NTP 主机 的 设 定时 ， 都 会 先 选 择 
多 部 上 层 的 Time 


Server 来 做 为 我 们 这 一 部 NTP Server 的 校正 之 用 ， 选 择 多 部 的 原因 是 
因为 可 以 避免 


因为 某 部 时 间 服 务 絮 突然 挂 点 时 ， 其 他 主机 仍然 可 以 提供 我 们 的 NTP 
主机 来 自我 更 新 


啊 ! 然后 我 们 的 NTP Server 才 提 供给 自己 的 Client 端 更 新 时 间 。 如 此 
一 来 ， 国 家 单 


位 的 tock.stdtime.gov.tw 负载 才 不 会 太 大 ， 而 我 们 的 Client 也 可 以 很 快 
速 的 达到 


校 时 的 动作 1! 
Tips: 
其 实 NTP 的 阶层 概念 与 DNS 很 类 似 啦 ， 当 你 架设 一 部 NTP 主机 ， 


这 部 NTP 所 向 上 要 求 同 步 化 的 那 部 主要 主机 为 stratum-1 时 ， 那 
么 你 的 NTP 就 是 stratum-2 嗓 ! 举例 来 说 ， 如 果 我 们 的 NTP 是 向 
台湾 的 tock.stdtime.gov.tw 这 部 stratum-2 的 主机 要 求 时 间 同 
步 化 ， 那 我 们 的 主机 即 为 stratum-3 ， 如 果 还 有 其 他 的 NTP 主机 
向 我 们 要 求 时 间 同 步 ， 那么 该 部 主机 则 会 是 stratum-4 啦 ! 就 这 
样 啊 ~ 那 最 多 可 以 有 几 个 阶层 ? 最 多 可 达 15 个 阶层 喔 ! 

15.2 NTP 服务 器 的 安装 与 设 定 


NTP 服务 器 也 是 一 个 很 容易 就 可 以 架设 成 功 的 玩意 儿 ， 不 过 这 个 软件 
在 不 同 的 


distribution 上 面 可 能 有 不 一 样 的 名 称 ， 你 要 作 的 其 实 吕 是 将 他 安装 起 
来 之 后 ， 规 定 


一 部 上 层 NTP 服务 器 来 同步 化 你 的 时 间 即 可 啊 ! 如 果 你 只 是 想 要 进行 
你 自己 单 部 主机 


的 时 间 同 步 化 ， 别 架设 NTP ， 直 接 使 用 NTP 客户 端 软 件 即 可 喔 ! 
15.2.1 所 需 软件 与 软件 结构 


在 CentOS 6.x 上 头 ， 你 所 需要 的 软件 其 实 仅 有 ntp 这 个 玩意 儿 而 已 ， 
请 日 行使 


用 rpm 去 找 找 看 ， 若 没有 安装 ， 请 利用 yum install ntp 即 可 啊 ! 不 过 ， 
我 们 还 需要 


时 区 相关 的 数据 文件 ， 所 以 你 需要 的 软件 有 : 
Dntp: 就 是 NTP 服务 器 的 主要 软件 啦 ， 包 括 配 置 文 件 以 及 执行 档 等 


Dtzdata: 软件 名 称 为 了 Time Zone data 4 的 缩写 ， 提 供 各 时 区 对 应 的 
[于 | 


NT 
示 格 式 。 


与 时 间 及 NTP 服务 需 设 定 相 关 的 配置 文件 与 重要 数据 文件 有 底下 几 
个 
广 : 


DO /etc/ntp.conf: ”就 是 NTP 服务 器 的 主要 配置 文件 ， 世 是 唯一 的 一 个 ，; 
日 /usr/share/zoneinfo/: 由 tzdata 所 提供 ， 为 各 时 区 的 时 间 格 式 对 应 
档 。 


例如 台湾 地 区 的 时 区 格式 对 应 档案 在 /usr/share/zoneinfo/Asia/Taipei 就 
日 
古 
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了 ! 这 个 目录 里 面 的 档案 与 压 下 要 谈 的 两 个 档案 (clock 与 localtime) 是 
有 天 


系 的 喔 ! 
D /etc/sysconfig/clock: ” 设 定 时 区 与 是 否 使 用 UTC 时 间 钟 的 配置 文件 。 


次 开机 后 Linux 会 目 动 的 读 取 这 个 档案 来 设 定 目 己 系统 所 稚 认 要 显示 
的 时 间 说 ! 


尝 个 例 了 来 说 ， 在 我 们 台湾 地 区 的 本 地 丁 间 设 定 中 ， 这 个 档案 站 应 该 
会 出 现 一 


行 【ZONE='"Asia/Taipei"J 的 字样 ， 这 表示 我 们 的 时 间 配 置 文件 案 
【要 取 用 


/usr/share/zoneinfo/Asia/Taipei 那个 档案 J 的 意思 ! 


D /etclocaltime: 这 个 档案 束 是 『 本 地 端的 时 间 配 置 文件 4 啦 ! 刚刚 那 
RS 
| 


clock 档案 里 面 规定 了 使 用 的 时 间 配 置 文件 (ZONE) 为 
/usr/share/zoneinfo/Asia/Taipei ， 所 以 说 这 就 是 本 地 端的 时 间 了 ， 此 时 


Linux 系统 就 会 将 Taipei 那个 档案 复制 一 份 成 为 /etwlocaltime ， 所 以 未 
来 


我 们 的 时 间 显 示 就 会 以 Taipei 那个 时 间 配 置 文件 案 为 准 。 
至 于 在 第 用 于 时 间 服 务 占 与 修改 时 间 的 指令 方面 ， 主 要 有 底下 这 几 个 


啦 
D /bin/date: 用 于 Linux 时 间 (软件 时 钟 ) 的 修改 与 显示 的 指令 ; 
0 /sbin/hwclock: 用 于 BIOS 时 钟 (硬件 时 钟 ) 的 修改 与 显示 的 指令 。 


这 


是 一 个 root 才能 执行 的 指令 ， 因 为 Linux 系统 上 面 BIOS 时 间 与 Linux 


时 间 是 分 开 的 ， 所 以 使 用 date 这 个 指令 调整 了 时 间 之 后 ， 还 需要 使 用 


hwclock 
才能 将 修改 过 后 的 时 间 写 入 BIOS 当中 ! 
/usr/sbin/ntpd: ”主要 提供 NTP 服务 的 程序 嘿 ! 配置 文件 为 


/etc/ntp.conf 


DO /usr/sbin/ntpdate: ”用 于 客户 并 的 时 间 校 正 ， 如 果 你 没有 要 启用 NTP 
而 


仅 想 要 使 用 NTP Client 功能 的 话 ， 那 么 只 会 用 到 这 个 指令 而 已 啦 ! 


例题 : 


假设 你 的 笔记 本 电脑 安装 CentOS 这 和 肆 系统 ， 而 且 选 择 的 时 区 为 台湾 。 
现在 ， 


你 将 有 一 个 月 的 时 间 要 出 差 到 美国 的 纽约 去 ， 你 会 市 者 这 个 笔 电 ， 那 
么 到 了 美国 之 


后 ， 时 间 会 不 一 致 啊 ! 你 该 如 何 手动 的 调整 时 间 参 数 呢 ? 


竹 -. 


| ms 芋 : 


为 时 区 数据 文件 在 /usr/share/zoneinfo 内 ， 在 该 目录 内 会 找到 
/usr/share/zoneinfo/America/New_York 这 个 时 区 档 。 而 时 区 配置 文件 在 


/etc/sysconfig/clock ， 且 目前 的 时 间 格 式 在 /etc/localtime ， 所 以 你 应 该 
这 样 


做 : 

[root@www ~]# date 

Thu Jul 28 15:08:39 CST 2011 <== 重 点 是 CST 这 个 时 区 喔 ! 
[root@www ~]# vim /etc/sysconfig/clock 

ZONE="America/New_York" <== 改 的 是 这 里 啦 ! 
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[root@www ~]# cp /usr/share/zoneinfo/America/New_York /etc/localtime 
[root@www ~]# date 

Thu Jul 28 03:09:21 EDT 2011 <== 时 区 与 时 间 都 改变 了 


这 个 范例 做 完 之 后 ， 记 得 将 这 两 个 档案 改 回来 ! 不 然 以 后 你 的 时 间 都 
是 美国 了 时间 啦 | 


接 下 来 ， 我 们 移 来 谈 一 谈 如 何 设计 那个 /etc/ntp.conf 吧 ! 
15.2.2 主要 配置 文件 ntp.conf 的 处 理 


由 于 NTP 服务 咒 的 设 定 需 要 有 二 游 服务 器 的 支持 才 行 ， 因 此 请 回头 
一 下 


15.1.4 及 15.1.5 的 介绍 ， 这 样 才 能 够 理解 为 何 底 下 的 设 定 是 这样 哟 ! 好 
了 ， 我 假设 


俺 的 NTP 服务 器 所 需要 设 定 的 架构 如 下 : 
我 的 上 层 NTP 服务 器 共有 tock.stdtime.gov.tw, tick.stdtime.gov.tw, 
time.stdtime.gov.tw 三 部 ， 其 中 以 tock.stdtime.gov.tw 最 优先 使 用 


(prefer); 


0 不 对 Internet 提供 服务 ， 仅 允许 来 和 目 内 部 网 域 192.168.100.0/24 的 查 
询 


而 已 ; 

0 侦 测 一 些 BIOS 时 钟 与 Linux 系统 时 间 的 差异 并 写 入 
/var/lib/ntp/drift 档案 当中 。 

好 了 ， 先 让 我 们 谈 一 谈 如 何在 ntp.conf 里 面 设 定 权限 控制 吧 1 

0 

利用 restrict 来 管理 权限 控制 

在 ntp.conf 档案 内 可 以 利用 『 restrict J 来 控 管 权 限 ， 这 个 参数 的 设 定 


i 
restrict [你 的 IP] mask [netmask_IP] [parameter] 


其 中 parameter 的 参数 主要 有 底下 这 些 : 


0 ignore: 拒绝 所 有 类 型 的 NTP 联机; 
ee 客户 端 不 能 使 用 ntpc 与 ntpq 这 两 支 程 序 来 修改 服务 器 的 
有 


间 参 数 ， 但 客户 端 仍 可 透 过 这 部 主机 来 进行 网 络 校 时 的 ; 


D noquery: 客户 端 不 能 够 使 用 ntpq, ntpc 等 指令 来 查询 时 间 服 务 器 ， 等 
于 


不 提供 NTP 的 网 络 校 时 哆 
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OU notrap: 不 提供 trap 这 个 远程 事件 登录 (remote event logging) 的 功 
能 。 

D notrust: 拒绝 没有 认证 的 客户 端 。 


那 如 条 你 没有 在 parameter 的 地 方 加 上 任何 参数 的 话 ， 这 表示 『 该 人 P 
或 网 段 不 


受 任何 限制 4 的 意思 喔 ! 一 般 来 说 ， 我 们 可 以 先 关 闭 NTP 的 权限 ， 然 
后 再 一 个 一 个 的 


局 用 人 允许 登入 的 网 段 。 

[ 

利用 server 设 定 上 层 NTP 服务 器 
上 层 NTP 服务 器 的 设 定 方式 为 : 
server [IP or hostname] [prefer] 


在 server 后 闻 可 以 接 IP 或 主机 名 ， 马 哥 个 人 比较 喜欢 使 用 卫 来 设 定 
说 ! 至 于 那个 


perfer 表示 『 优 先 使 用 4 的 服务 器 虽 ~~ 有 够 简单 吧 ! 
UD 

以 driftfile 记录 时 间 差 异 

设 定 的 方式 如 下 : 

driftfile [可 以 被 ntpd 写 入 的 目录 与 档案 ] 


因为 预 设 的 NTP Server 本 身 的 时 间 计 算是 依据 BIOS 的 芯片 震荡 周期 
频率 来 计算 的 ， 


但 是 这 个 数值 与 上 层 Time Server 不 见得 会 一 致 啊 ! 所 以 NTP 这 个 
daemon (ntpd) 会 


目 动 的 去 计算 我 们 目 己 主机 的 频率 与 上 层 Time server 的 频率 ， 并 且 将 
两 个 频率 的 误 


过 记录 下 来 ， 记 录 下 来 的 档案 束 是 在 driftfile 后 面 接 的 完整 档 名 当中 
二 人 1 


你 必须 要 知道 
D driftfile 后 面 接 的 档案 需要 使 用 完整 路 径 文件 名 

D 该 档案 不 能 是 连结 档 ; 

0 该 档案 需要 设 定 成 ntpd 这 个 daemon 可 以 写 入 的 权限 。 
0 该 档案 所 记录 的 数值 单位 为 ， 百 万 分 之 一 秒 (ppm) 。 


driftfile 后 面 接 的 档案 会 被 ntpd 自动 更 新 ， 所 以 他 的 权限 一 定 要 能 够 让 
ntpd 


写 入 才 行 。 在 CentOS 6.x 预 设 的 NTP 服务 器 中 ， 使 用 的 ntpd 的 owner 


这 部 份 可 以 查阅 /etc/sysconfig/ntpd 就 可 以 知道 啦 ! 
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UD 
keys [key_file] 


除了 以 restrict 来 限制 客户 端的 联机 之 外 ， 我 们 也 可 以 透 过 密 钥 系 统 来 
给 客户 站 


认证 ， 如 此 一 来 可 以 让 主机 端 更 放心 了 。 不 过 在 这 个 章节 里 面 我 们 暂 


不 讨论 这 个 部 分 ， 
有 兴趣 的 朋友 可 以 参考 ntp-keygen 这 个 指令 的 相关 说 明 嘱 ， 


根据 上 面 的 说 明 ， 我 们 最 终 可 以 取得 这 样 的 配置 文件 案 内 容 喔 ( 确 下 仅 
修改 部 分 数 


据 ， 保 留 大 部 分 的 设 定 值 吗 ) ! 


[root@www ~]#vim /etc/ntp.conf 


#1. 先 处 理 权 限 方面 的 问题 ， 包 括 放 行 上 层 服务 郁 以 及 开放 区 网 用 户 来 
源 : 


restrict default kod nomodify notrap nopeer noquery <== 拒 绝 IPv4 
的 用 户 

restrict -6 default kod nomodify notrap nopeer noguery <== 拒 绝 IPv6 
的 用 户 

restrict 220.130.158.71 <== 放 行 tock.stdtime.gov.tw 进入 本 NTP 服 
务 器 

restrict 59.124.196.83 <== 放 行 tick.stdtime.gov.tw 进入 本 NTP 服 


务 胡 


restrict 59.124.196.84 <== 放 行 time.stdtime.gov.tw 进入 本 NTP 服 
务 人 大 

restrict 127.0.0.1 <== 底 下 两 个 是 默认 值 ， 放 行 本 机 来 源 

restrict -6 ::1 

restrict 192.168.100.0 mask 255.255.255.0 nomodify <== 放 行 区 网 来 源 
#2. 设 定 主 机 来 源 ， 请 先 将 原本 的 [0|1|2].centos.pool.ntp.org 的 设 定 批 
注 挥 : 

server 220.130.158.71 prefer <== 以 这 部 主机 为 最 优先 

server 59.124.196.83 

server 59.124.196.84 

# 3. 预 设 时 间 差 异 分 析 档 案 与 暂 不 用 到 的 keys 等 ， 不 需要 更 动 它 : 
driftfile /var/lib/ntp/drift 


keys /etc/ntp/keys 
这 样 就 设 定 受 当 了 ， 准 备 来 启动 NTP 服务 吧 ! 
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15.2.3 NTP 的 启动 与 观察 


设 定 完 ntp.conf 之 后 束 可 以 启动 ntp 服务 器 了 。 局 动 与 观察 的 方式 如 
下 : 


#1. 启动 NTP 


[root@www ~]# /etc/init.d/ntpd start 


[root@www ~]# chkcontfig ntpd on 


[root@www ~]# tail /var/log/messages <== 目 行 检 查看 看 有 无 销 误 
# 2. 观察 局 动 的 埋 口 看 看 : 


[root@www ~]# netstat -tlunp | grep ntp 

Proto Recv-Q Send-Q Local Address Foreign Address PID/Program 
name 

udp 0 0 192.168.100.254:123 0.0.0.0:* 3492/ntpd 

udp 0 0 192.168.1.100:123 0.0.0.0:* 3492/ntpd 

udp 0 0 127.0.0.1:123 0.0.0.0:* 3492/ntpd 

udp 0 0 0.0.0.0:123 0.0.0.0:* 3492/ntpd 

udp 0 0 ::1:123 :::* 3492/ntpd 

udp 0 0 :::123 :::* 3492/ntpd 

# 主要 是 UDP 封包 ， 且 在 port 123 这 个 塌 口 的 啦 ! 


这 样 束 表 示 我 们 的 NTP 服务 万 已 经 局 动 了 ， 不 过 要 与 上 层 NTP 服务 郁 
联机 则 还 需要 一 


些 时 间 ， 通常 启动 NTP 后 约 在 15 分 钟 内 才 会 和 上 层 NTP 服务 器 顺利 
连接 上 。 那 要 


如 何 确认 我 们 的 NTP 服务 器 有 顺利 的 更 新 目 己 的 时 间 呢 ? 你 可 以 使 用 
扶 直 四 个 模仿 来 


查阅 咀 (请 目 行 等 待 数 分 钟 后 再 以 下 列 指令 查阅 ): 


[root@www ~]# ntpstat 
synchronised to NTP server (220.130.158.71) at stratum 3 
time correct to within 538 ms 


polling server every 128s 


这 个 指令 可 以 列 出 我 们 的 NTP 服务 器 有 跟 上 层 联 机 否 。 由 上 述 的 输出 
结 采 可 以 知道 ， 


时 间 有 校正 约 538 * 10^(-3) 秒 ， 且 每 隔 64 秒 会 主动 去 更 新 时 间 喔 ! 
[root@www ~]# ntpq -p 

remote refid st t when poll reach delay offset 

jitter 


*tock.stdtime.go 59.124.196.87 2 u 19 128 377 12.092 -0.953 
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0.942 

+59-124-196-83.H 59.124.196.86 2 u 8 128 377 14.154 7.616 
1.533 

+59-124-196-84.H 59.124.196.86 2 u 2 128 377 14.524 4.354 


1.079 


这 个 ntpq -p 可 以 列 出 目前 我 们 的 NTP 与 相关 的 上 层 NTP 的 状态 ， 上 
头 的 几 个 字段 


的 意义 为 : 

0 remote: 亦 即 是 NTP 主机 的 IP 或 主机 名 虽 ~~ 注 意 最 左边 的 符号 

o 如 果 有 『 * J 代表 目前 正在 作用 当中 的 上 层 NTP 

o 如 果 是 『+ J 代表 也 有 连 上 线 ， 而 且 可 作为 下 一 个 提供 时 间 更 新 的 
候选 者 。 

0 refid: 参考 的 上 一 层 NTP 主机 的 地 址 

0 st 就 是 stratum 阶层 嗓 ! 

0 when: 儿 秒 钟 前 曾经 做 过 时 间 同 步 化 更 新 的 动作 ; 

0 poll: 下 一 次 更 新 在 儿 秒 钟 之 后 ; 

0 reach: 已 经 向 上 层 NTP 服务 器 要 求 更 新 的 次 数 

0 delay: 网 络 传输 过 程 当 中 延迟 的 时 间 ， 单 位 为 10^(-6) 秒 

D offset: 时 间 补 偿 的 结果 ， 单 位 与 10A(-3) 秒 

Djitter:， Linux 系统 时 间 与 BIOS 硬件 时 间 的 差异 时 间 ， 单位 为 10^(-6) 
秒 。 


事实 上 这 个 输出 的 结果 告诉 我 们 ， 时 间 真 的 很 准 了 啦 ! 因为 差异 都 在 
0.001 秒 以 


内 ， 可 以 符合 我 们 的 一 般 使 用 了 。 另 外 ， 你 也 可 以 检查 一 下 你 的 BIOS 
时 间 与 Linux 系 


统 时 间 的 差异 ， 就 是 /varlib/mtp/drift 这 个 档案 的 内 容 ， 就 能 了 解 到 咱 
们 的 Linux 


系统 时 间 与 BIOS 硬件 时 钟 到 底 差 多 久 ? 单位 为 10A(-6) 秒 啦 ! 
要 让 你 的 NTP Server/Client 真 的 能 运作 ， 在 上 述 的 动作 中 得 注意 : 
DD 上 还 的 ntpstat 以 及 ntpq -p 的 输出 结果 中 ， 你 的 NTP 服务 器 真 的 要 能 


够 连结 上 层 NTP 才 行 喔 ! 否则 你 的 客户 端 将 无 法 对 你 的 NTP 服务 郁 
进行 同步 


更 新 的 ! 重要 重要 ! 


0 你 的 NTP 服务 器 时 间 不 可 与 上 层 差 异 太 多 。 举 例 来 说 ， 鸟 哥 测 试 
NTP 服务 


独 约 在 2011/7/28 下 午 ， 如 果 我 的 服务 历时 间 原 本 是 错误 的 
2010/7/28， 足 足 


过 了 一 年 ， 那 么 上 层 服务 善人 愁 介 束 不 会 将 正确 的 时 间 传 给 我 ! 这 时 丈 
会 造成 困 


扰 了 ! 
0 服务 器 防火 墙 在 UDP port 123 有 没有 开 啊 ? 要 特别 注意 的 呢 ! 


3 乌 哥 设 定 NTP 等 过 最 久 的 时 间 大 约 古 一 小 
了 时 ! 你 


等 这 么 久 过 否 ? 
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15.2.4 安全 性 设 定 


NTP 服务 器 在 安全 的 相关 性 方面 ， 其 实 刚刚 我 们 在 /etc/ntp.conf 里 面 的 


restrict 参数 中 束 已 经 设 定 了 NTP 这 个 daemon 的 服务 限制 范围 了 ! 不 
过 ， 在 防火 墙 


iptables 的 部 分 ， 还 是 需要 开启 联机 监听 的 啦 ! 所 以 ， 在 你 的 iptables 
规则 的 


scripts 当中 ， 需 要 加 入 这 一 段 (我 是 以 开放 192.168.100.0/24 这 个 网 域 
作为 范例 


的 ! ) 

[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -i $EXTIF -p udp -s 192.168.100.0/24 --dport 123 -j 
ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


各 还 有 要 开放 其 他 的 网 段 或 着 客户 端 主机 ， 请 目 行 修改 /etc/ntpd.conf 以 
及 你 的 防火 墙 


机 制 咯 ! 
15.3 客户 端的 时 间 更 新 方式 


上 头 介绍 了 NTP 服务 器 的 安装 与 设 定 ， 如 果 我 们 仅 有 十 部 不 到 的 主机 
时 ， 老 实说 ， 


实在 没有 架设 NTP 服务 器 的 需求 。 只 要 能 够 在 你 的 主机 上 头 以 NTP 
客户 端 软件 来 进 


行 网 络 校 时 残 能 够 同步 化 时 间 了 ， 没 必要 时 时 刻 刻 进行 时 间 的 校正 


吧 ! 和 人 A! 但 是 , 女 


朱 生 类 似 一 定 要 时 间 同 步 的 丛 集 计算 机 群 或 登 孙 服务 邵 群 ， 那 束 得 要 
使 用 时 间 服 务 紫 比 


较 好 哆 ! 
15.3.1 Linux 手动 校 时 工作 :，date, hwclock 


先 来 复习 一 下 前 面谈 到 的 重点 ， 那 惑 是 Linux 操作 系统 当中 其 实 有 两 
个 时 间 ， 分 


] 
0 软件 时 钟 : Linux 目 己 的 系统 时 间 ， 由 1970/0101 开始 记录 的 时 间 参 
歼 


Ho 
训 


上 醒 人 时钟， 计算 机 系统 在 BIOS 记录 的 实际 时 间 ， 这 也 是 硬件 所 记录 
在 软件 时 钟 方面 ， 我 们 可 以 透 过 date 这 个 指令 来 进行 手动 修订 ， 但 如 
果 要 修改 


BIOS 记录 的 时 间 ， 就 得 要 使 用 hwclock 这 个 指令 来 写 入 才 行 。 相 关 的 
用 法 如 下 : 
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[root@clientlinux ~]# date MMDDhhmmYYYY 
选项 与 参数 

MM: 月 份 

DD: 日 期 


hh : 小 时 


YYYY: 公元 年 

#1. 修改 时 间 成 为 1 小 时 后 的 时 间 该 如 何 是 好 ? 
[root@clientlinux ~]# date 

Thu Jul 28 15:33:38 CST 2011 

[root@clientlinux ~]# date 072816332011 

Thu Jul 28 16:33:00 CST 2011 


# 瞧 ! 时 间 立 刻 束 变 成 一 个 小 时 后 了 


[root@clientlinux ~]# hwclock [-rw] 

选项 与 参数 : 

-: 人 尔 即 read ， 读 出 目前 BIOS 内 的 时 间 参 数 ; 

-Ww : 亦 即 write ， 将 目前 的 Linux 系统 时 间 写 入 BIOS 当中 啊 ! 
#2. 查阅 BIOS 时 间 ， 并 且 写 入 更 改过 的 时 间 哎 ! 
[root@clientlinux ~]# date; hwclock -r 

Thu Jul 28 16:34:00 CST 2011 

Thu 28 Jul 2011 03:34:57 PM CST -0.317679 seconds 


# 看 一 看 ， 和 是否 刚好 老 异 约 一 个 小 时 啊 ! 这 就 古 BIOS 时 间 ! 


[root@clientlinux ~]# hwclock -w; hwclock -r; date 
Thu 28 Jul 2011 04:35:12 PM CST -0.265656 seconds 
Thu Jul 28 16:35:11 CST 2011 


# 这 样 回 写 入 哆 一 所 以 软件 时 钟 与 硬件 时 钟 束 同步 啦 ! 很 简单 吧 ! 


这 样 可 以 了 解 了 吗 ? 当 我 们 进行 完 Linux 时 间 的 校 时 后 ， 还 需要 以 
hwclock 来 更 新 


BIOS 的 时 间 ， 因 为 每 次 重新 启动 的 时 候 ， 系 统 会 重新 由 BIOS 将 时 间 
读 出 来 ， 所 以 ， 


BIOS 才 是 重要 的 时 间 依 据 呐 。 
15.3.2 Linux 的 网 络 校 时 


在 Linux 的 环境 当中 可 利用 NTP 的 客户 端 程序 ， 亦 即 是 ntpdate 这 文 程 
序 束 能 

够 进行 时 间 的 同步 化 。 不 过 你 要 知道 的 是 ， 因 为 NTP 服务 万 本 来 融会 
与 上 层 时 间 服 务 


名 进行 时 间 的 同步 化 ， 所 以 在 预 设 的 情况 下 ，NTP 服务 人 句 不 可 以 使 用 
ntpdate ! 也 就 
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是 说 ntpdate 与 ntpd 不 能 同时 局 用 的 。 所 以 你 不 要 在 NTP server 上 头 
执行 这 个 指 


令 哆 ! 我 们 束 来 看 看 如 何 处 理 吧 1 
[root@calientlinux ~]# ntpdate [-dv] [NTP IP/hostnamel] 
选项 与 参数 

进入 除 错 模 式 (debug) ， 可 以 显示 出 更 多 的 有 效 信息 。 
-V : 有 较 多 讯 居 的 显示 。 


[root@clientlinux ~]# ntpdate 192.168.100.254 


28 Jul 17:19:33 ntpdate[3432]: step time server 192.168.100.254 offset 
-2428.396146 sec 


# 最 后 面 会 显示 微调 的 时 间 有 多 少 (offset)， 
因为 乌 哥 这 部 主机 时 间 差 很 多 ， 
所 以 秒 数 .… 


[root@clientlinux ~]# date; hwclock -r 
四 7 月 28 17:20:27 CST 2011 
公元 2011 年 07 月 28 日 ( 周 四 ) 18 时 19 分 26 秒 -0.752303 seconds 


# 知道 乌 哥 想 要 表达 什么 吗 ? 对 啊 ! 还 得 hwclock -w 写 入 BIOS 时 间 才 
行 


叮 ! 
[root@Oclientlinux ~]# vim /etc/crontab 
# 加 入 这 一 行 去 ! 


10 5 * * * root (/usr/sbin/ntpdate tock.stdtime.gov.tw && /sbin/hwclock -w) 
&> /dev/null 


使 用 crontab 之 后 ， 每 天 5:10 Linux 系统 就 会 自动 的 进行 网 络 校 时 嚼 ! 
相当 的 简易 


吧 ! 不 过 ， 这 个 方式 仅 适 合 不 要 局 动 NTP 的 情况 。 如 末 你 的 机 右 数 量 
太 多 了 ， 那 么 客 


尸 端 最 好 也 局 动 一 下 NTP 服务 ! 透 过 NTP 去 主动 的 更 新 时 间 吧 ! 如 
何 达 成 这 个 动作 


昵 ? 也 很 徐 单 啊 ， 修 改 /etc/ntp.conf 即 可 : 
[root@clientlinux ~]# ntpdate 192.168.100.254 


# 由 于 ntpd 的 server/client 之 间 的 时 间 误 差 不 允 许 超 过 1000 秒 ， 


# 因此 你 得 先 手 动 进 行 时 间 同 步 ， 然 后 再 设 定 与 局 动 时 间 服 务 絮 只 ! 
[root@clientlinux ~]# vim /etc/ntp.conf 

#server 0.centos.pool.ntp.org 

#server 1.centos.pool.ntp.org 

#server 2.centos.pool.ntp.org 

restrict 192.168.100.254 <== 放 行 服务 器 来 源 ! 

server 192.168.100.254 <== 这 就 是 服务 器 ! 

# 很 创 单 ， 束 是 将 原本 的 server 项 目 批 注 ， 加 入 我 们 要 的 服务 句 即 可 
[root@clientlinux ~]# /etc/init.d/ntpd start 

[root@clientlinux ~]# chkconfig ntpd on 
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然后 取消 掉 crontab 的 更 新 程序 ， 这 样 你 的 dient 计算 机 就 会 主动 的 到 
NTP 服务 器 


去 更 新 虽 ! 也 是 轻松 愉快 啊 ! 不 过 针对 客户 端 来 说 ， 乌 哥 还 是 比较 习 
惯 使 用 crontab 的 


方式 来 处 理 就 是 了 。 
15.3.3 Windows 的 网 络 校 时 


或 许 你 一 直 都 没 发 现 ， 其 实 Windows 在 预 设 的 情况 当中 ， 已 经 帮 有 我 们 
处 理 了 网 络 


校 时 的 工作 喔 ! 不 管 你 愿 不 愿意 … 你 可 以 将 鼠标 的 指针 指 在 任务 栏 右 
下 角 的 时 间 以 如 


下 的 方式 来 查阅 一 下 网 络 时 间 服 务 器 的 设 定 : 
图 15.3-1、Windows 7 提供 的 网 络 校 时 功能 


点 选 上 图 中 的 『 变 更 日 期 与 时 间 设 定 值 4 ， 出 现 如 下 图 示 : 
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配 ? 日 期 和 时间 


四 


日 期 和 时 间 | 其 他 时 迁 | 网际 网 路 时 间 
和 这 名 这 胶 总 筷 三 支 垂 'time.windows.com 
> 帝 攻 腕 路 时 间 钒 定 
商定 总 联 织 路 蛙 阐 识 定 : 1 
VI 竹 深 详 洪 路 时 硬 侗 张 琶 同步 厚 班 (S) 
伺 张 改 (E): tock.stdtime.gov.tw v 立即 更 新 (U) 2 
蛙 舌 已经 积 tock.stdtime.gov.tw 了 01177/29 上 午 02:19 成 功 完成 同步 嘉 
总 
确 党 更 设 定 (C).. 
取消 套用 总 ) 


图 15.3-2、Windows 7 提供 的 网 络 校 时 功能 


如 上 所 示 ， 你 可 以 目 行 填写 台湾 的 时 间 服 务 做 来 对 应 时 间 ， 当 然 也 可 
以 填写 你 目 己 


的 时 间 服 务 器 啊 ! 之 后 系统 就 会 主动 的 上 网 去 更 新 时 间 了 。 不 过 ， 这 
是 Windows XP 之 


后 的 窗口 系统 才 有 的 功能 ， 如 果 是 比较 早期 的 Windows ， 例如 
Windows 95/2000 预 


设 是 没有 这 个 功能 的 。 不 过 也 没有 关系 ， 因为 国家 频率 与 时 间 标 准 实 


验 室 得 


(http:/www.stdtime.govtw/) 也 有 提供 一 个 客户 端 软件 喔 ! 链接 资料 如 
下 : 


LD http:/www .stdtime.gov.tw/chinese/EXE/NTPClock.exe 


你 可 以 下 载 ， 直 接 执行 他 就 知道 如 何 处 理 了 ， 因 为 是 全 中 文 接口 的 图 
形 化 软件 嘛 ! 


15.4 重点 回顾 

0 地球 共 有 24 个 时 区 ， 而 以 格林 威 治 时 间 (GMT) 为 标准 时 间 : 

0 台湾 本 地 时 间 为 GMT + 8 小 时 ; 

0 最 准确 的 时 间 为 使 用 原子 钟 (Atomic clock) 所 计算 的 ， 例 如 UTC 


(Coordinated Universal Time) 就 是 一 例 ; 
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0 Linux 系统 本 来 就 有 两 种 时 间 ， 一 种 是 Linux 以 1970/01/01 开始 计数 
的 


系统 时 间 ， 一 种 则 是 BIOS 记载 的 硬件 时 间 ; 
0 Linux 可 以 透 过 网 络 校 时 ， 最 利 见 的 网 络 校 时 为 使 用 NTP 服务 器 ， 这 
个 服 


务 局 动 在 udp port 123; 
0 时 区 档案 主要 放置 于 /usr/share/zoneinfo/ 目录 下 ， 而 本 地 时 区 则 参考 
/etc/localtime; 


0D NTP 服务 器 为 一 种 阶层 式 的 服务 ， 所 以 NTP 服务 器 本 来 就 会 与 上 层 
时 间 服 


务 姨 作 时 间 的 同步 化 ， 因此 nptd 与 ntpdate 两 个 指令 不 可 同时 使 用 ; 
ODNTP 服务 器 的 联机 状态 可 以 使 用 ntpstat 及 ntpq -p 来 查询 ; 
0 NTP 提供 的 客户 端 软件 为 ntpdate 这 个 指令 ; 


0 在 Linux 下 想 要 手动 处 理 时 间 时 ， 需 以 date 设 定时 间 后 ， 以 hwclock 


W 
来 写 入 BIOS 所 记录 的 时 间 。 


NTP 服务 器 之 间 的 时 间 误 差 不 可 超过 1000 秒 ， 否 则 NTP 服务 会 自动 
关闭 。 


15.5 本 章 习 题 

什么 是 GMT (格林 威 治 ) 时 间 与 UTC 时 间 ? 

由 于 地 球 是 圆 的 ， 所 以 同一 时 间 点 上 ， 在 地 球 共 可 分 为 24 个 时 区 ， 其 
中 ， 

我 们 以 欧洲 的 格林 威 治 时 间 为 一 个 对 照 的 依据 ， 这 个 即 是 GMT 时 间 。 
台湾 时 间 


比 GMT 时 间 快 了 8 小时。 至 于 UTC 时 间 则 是 由 原子 钟 所 计算 的 时 
则 ， 这 个 时 


间 是 相当 的 准确 的 ， 主要 仍 以 格林 威 治 时 间 为 时 区 ! 

0 Linux 系统 的 所 有 时 区 档案 放置 哪 一 个 目 孙 确 下 ? 

所 有 的 时 区 档案 放置 于 : /usr/share/zoneinfo 底下 ! 至 于 系统 时 区 的 配 
置 


文件 则 在 /etc/sysconfig/clock 与 /etc/localtime 喔 ! 


0 我 的 Linux 主机 本 来 放置 在 日 本 东京 ， 现 在 想 将 他 拿 到 台湾 来 运作 ， 
不 过 


因为 日 本 与 台湾 有 一 个 小 时 的 时 差 ， 所 以 我 的 时 间 应 该 需要 经 过 调整 
才 行 。 不 


过 ， 因 为 我 的 BIOS Time 主要 是 依据 UTC 时 间 来 设 定 的 ， 所 以 似乎 只 
要 更 动 时 


区 参数 即 可 。 请 问 我 该 如 何 设 定时 区 ， 好 让 我 的 Linux 主机 能 够 显示 
正确 的 时 


则 ? 

完 将 /etc/localtime 删除 ， 然 后 将 /usr/share/zoneinfo/Asia/Taipei 

这 个 档案 复制 成 为 /etc/localtime 即 可 ! 

0 目前 Linux 系统 上 面 的 时 间 服 务 套 主要 是 以 NTP 为 主 ， 请 问 这 个 


daemon 


的 主要 配置 文件 放 在 哪里 ， 而 该 配置 文件 中 ， 针 对 上 层 time server 的 


设 定 参 
数 为 何 ? 而 那个 driftfile 参数 是 干 嘛 用 的 ? 
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0 


在 /etc/ntp.conf 这 个 档案 当中 ， 至 于 上 层 time server 的 设 定 参 数 为 


server 啊 ! 那个 driftfile 则 是 用 来 做 为 了 时 间 差 额 3 的 计算 的 ! 该 参数 
后 面 


接 的 是 一 个 完整 路 径 的 文件 名 ， 该 档案 里 面 的 数值 单位 为 百 万 分 之 一 
(ppm)。 


0 请 问 ntptrace 的 功能 为 何 ? 
DD 可 以 用 来 追踪 上 层 time server 的 连接 时 间 与 目前 时 间 ! 


D 我 以 date 更 新 了 我 Linux 上 面 的 时 间 后 ， 该 如 何 将 时 间 数 据 写 入 
BIOS 


内 ? 

0 必须 利用 hwclock 这 个 程序 来 写 入 ， 利 用 hwclock -w 写 入 BIOS 

0 在 Linux 上 面 如 何 进行 网 络 校 时 ? 

0 最 简单 的 方法 即 是 使 用 『 ntpdate time.servers.ip && hwclock -wJ 即 
可 ! 

15.6 参考 数据 与 延伸 阅读 

口 注 1: 格林 威 治 时 间 的 Wiki 说 明 : 


http://en.wikipedia.org/wiki/Greenwich Mean Time 


0 注 2: UTC 时 间 的 Wiki 说 明 : 
http://en.wikipedia.org/wiki/Coordinated Universal Time 


0 注 3: 台湾 提供 的 几 部 标准 时 间 服 务 器 与 时 间 服 务 器 官网 : 


http://www.stdtime.gov.tw/Time/ntp/resource.htm 

http://www .stdtime.gov.tw/Time/home.htm 

0 注 4: NTP 的 官方 网 站 : http:/www.ntp.org 

男 一 个 好 站 :_http:/www.eecis.udel.edu/~mills/ntp/html/ntpd.html 


0 由 网 友人 李涛 兄 提供 的 好 站 : 
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2003/08/21: 首次 完成 2006/12/05: 将 旧 的 文章 移动 到 此 处 


2006/12/08: 将 文章 作 了 个 版 面 修 改 ， 同 时 将 一 些 数据 再 加 强 一 些 。 并 
补充 一 些 额外 的 


查阅 NTP 的 指令 。 


2009/04/28: 将 offset 的 时 间 单 位 写 错 了 ， 应 该 是 ms 不 是 us ， 亦 即 
10^(-3) 秒 ， 


而 不 是 10^(-6) 秒 。 抱 歉 。 


2011/02/18: 由 读者 李涛 兄 提 供 的 资料 ， 发 现 原本 ntpq 的 说 明 反 了 ! * 
应 为 作用 中 ， 


而 + 是 较 佳 的 另 一 部 候选 主机 。 
2011/03/16: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 
2011/03/18: 将 一 些 重复 性 的 数据 汇 整 一 下 ， 不 需要 的 部 分 就 删除 掉 了 


A 


2011/07/28: 将 基于 CentOS 5.x 的 文章 移动 到 此 处 
net.giang@hotmail.com 

第 十 六 章 ， 务 器 之 二 :SAMBA 服务 盐 

最 近 更 新 日 期 : 2011/07/29 


如 果 想 要 共享 档案 ， 在 Linux 对 Linux 的 环境 下 ， 最 简单 的 方法 就 是 透 
过 NIS 这 玩意 儿 了 ! 至 于 


Windows 对 Windows 的 环境 下 ， 最 简单 的 方法 则 是 工 网 络 上 的 秀 邻 4 
啊 。 那 如 果 你 的 区 网 中 有 Windows 


也 有 Linux 而 且 想 要 共享 文件 系统 的 话 ， 那 该 怎 办 ? 那 就 使 用 Samba 
服务 器 吧 ! Samba 可 以 让 Linux 


加 入 Windows 的 网 芳 支 持 ， 计 异 质 平台 可 以 共享 文件 系统 ! 非常 好 用 
的 哟 ! 不 仅 如 此 ， Samba 也 可 以 


让 Linux 上 面 的 打印 机 成 为 打印 机 服务 器 (Printer Servenm。 乌 哥 个 人 觉 
得 ， Samba 对 于 整个 区 网 的 


页 献 真 的 是 很 大 啦 ! 


16.1 什么 是 SAMBA 


16.1.1 SAMBA 有 的 友 与 名 称 了 多 
16.1.2 SAMBA 常见 的 应 用 

16.1.3 SAMBA JJ NetBIOS 通讯 协 诊 
16.1.4 SAMBA JJ daemons 


16.1.5 联机 模式 的 介绍 (peer/peer, domain model) 
16.2 SAMBA 服务 器 的 基础 设 定 
16.2.1 Samba 所 需 软 件 及 其 软件 结构 


服 a | 整 体 参数 ， 分 享 资源 参数 ， 变数 特 性 
16.2.3 不 需 密码 的 分 享 (security = share, 纯 测试 ) (testparm, smbclient) 


16.2.5 设 定 成 为 打印 机 服务 妖 (CUPS 系统 ) (cupsaddsmb) 


16.2.6 安全 性 的 议题 与 管理 SELinux, iptables, Samba 内 建 , Quota 


16.3 Samba 客户 端 软件 功能 
16.3.1 Windows 系统 的 使 用 :WinXP 防火 墙 , port 445 
16.3.2 Linux 系统 的 使 用 :_ smbclient, mount.cifs, nmblookup, smbtree, 


smbstatus 


16.4 以 PDC 服务 器 提供 账号 管理 


16.4.2 PDC 服务 的 建 置 
16.4.3 Wimdows XP pro. 的 客户 端 


LU 


16.4.4 Wimdows 7 的 客户 六 


16.4.5 PDC 之 问题 克服 


16.5 服务 器 简单 维护 与 管理 


16.5.1 服务 絮 相 关 问 题 


16.6 重点 回顾 


16.7 本 章 习 是 


net.giang@hotmail.com 


0 


0 


16.8 参考 数据 与 延伸 阅读 
16.9 针对 本 文 的 建议 : http://phorum.vbird.org/viewtopic.php?p=118976 
16.1 什么 古 SAMBA 


在 这 个 章 世 中， 我们 要 教 大 家 跳 的 是 热情 有 劲 的 巴西 SAMBA 舞蹈 … 
喔 不 ~~ 搞 错 


了 一 是 要 向 大 家 介绍 SAMBA 这 个 好 用 的 服务 器 啦 ! 喷 ! 怪 了 ! 怎么 
服务 器 的 名 称 会 使 


用 SAMBA 呢 ? 还 真是 怪 怪 的 呢 ! 那么 这 个 SAMBA 服务 器 的 功能 是 
TA 


最 早 是 经 由 什么 样 的 想法 而 开发 出 来 的 呢 ? 底下 就 让 我 们 慢 慢 的 谈 一 
谈 吧 ! 


16.1.1SAMBA 的 发 展 历史 与 名 称 的 由 来 


在 早期 的 网 络 世界 当中 ， 档 案 数 据 在 不 同 主机 之 间 的 传输 大 多 走 使 用 
ETP 这 个 好 


用 的 服务 紫 软 件 来 进行 传送 。 不 过 使 用 FTP 传输 档案 却 有 个 小 小 的 问 
题 ， 那 融 是 你 无 


法 直接 修改 主机 上 面 的 档案 数据 ! 也 就 是 说 ， 你 想 要 更 改 Linux 主机 
上 面 的 茶 个 档案 


时 ， 你 必须 要 将 该 档案 目 服务 郁 下 载 后 才能 修改 。 也 因此 该 档案 在 服 
务 郁 与 客户 端 者 


会 存在 。 这 个 时 候 ， 万 一 如 来 有 一 天 你 修改 了 茶 个 档案 ， 却 起 记 将 数 
据 上 传 回 主机 ， 


那么 等 过 了 一 阵子 之 后 ， 呵 呵 ， 你 如 何 知 道 那 个 档案 才 是 最 新 的 ? 
0 


让 档案 在 两 部 主机 之 间 直 接 修 改 : NFS 与 CIFS 


既然 有 这 样 的 问题 ， 那 么 好 吧 ， 我 可 不 可 以 在 客户 并 的 机 右上 面 直接 
使 用 服务 右上 


面 的 档案 ， 如 果 可 以 在 客户 端 直接 进行 服务 器 端 档案 的 存 取 ， 那 么 我 
在 客户 端 就 不 需 


要 存在 该 档案 数据 路 ， 也 束 是 说 ， 我 只 要 有 Server 上 面 的 档案 和 资料 存 
在 束 可 以 啦 ! 


有 没有 这 样 的 文件 系统 啊 ! 很 高 
文件 系统 之 一 啦 ! 


我 只 要 在 客户 端 将 Server 所 提供 分 享 的 目录 挂 载 进 来 ， 那 么 在 客户 闻 
的 机 器 上 面 就 


0 Server 上 的 档案 痪 料 吵 ， 而 且 ， 该 数据 束 像 古 我 客户 喘 
上 面 届 


partition 一 般 ， 真 是 好 用 ! 


而 除了 可 以 让 Unix Like 的 机 器 互相 分 享 档案 的 NFS 服务 器 之 外 ， 在 
微软 


(Microsoft) 操作 系统 上 面 也 有 类 似 的 文件 系统 ， 那 束 是 Common 


Internet File 


束 是 这 样 的 


System, CIFS 这 个 吹 歇 啦 ! CIFS 最 简单 的 想法 就 是 目前 常见 的 『 网 络 
上 的 芳 邻 4 略 ! 


Windows 系统 的 计算 机 可 以 透 过 桌面 上 了 网 络 上 的 芳 邻 4 来 分 享 别 人 
所 提供 的 档案 数据 


哩 ! 真是 方便 。 不 过 ，NFS 仅 能 让 Unix 机 器 沟通 ， CIFS 只 能 让 
Windows 机 器 沟通 。 


伤 脑筋 ， 那 么 有 没有 让 Windows 与 Unix-Like 这 两 个 不 同 的 平台 相互 
分 享 档案 数据 的 


文件 系统 呢 ? 
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利用 封包 侦 测 逆向 工程 发 展 的 SMB Server 


在 1991 年 一 个 名 叫 Andrew Tridgell 博士 班 研究 生 就 有 这 样 的 困扰 ， 他 
手 上 有 


三 部 机 絮 ， 分 别 是 跑 DOS 的 个 人 计算 机 、DEC 公司 的 Digital Unix 系 
统 以 及 Sun 的 


Unix 系统 。 在 当时 ， DEC 公司 有 发 展 出 一 套 称 为 PATHWORKS 的 软 
件 ， 这 套 软 件 可 以 


用 来 分 享 DEC 的 Unix 与 个 人 计算 机 的 DOS 这 两 个 操作 系统 的 档案 数 
据 ， 可 惜 让 


Tridgell 觉得 较 困扰 的 是 ，Sun 的 Unix 无 法 厌 由 这 个 软件 来 达到 数据 分 
享 的 目的 


(ns 


这 个 时 候 Tridgell 就 想 说 : 『 喷 ! 既然 这 两 部 系统 可 以 相互 沟通 ， 没 道 
理 Sun 束 


必需 这 么 否 命 吧 ? 可 不 可 以 将 这 两 部 系统 的 运作 原理 找 出 来 ， 然 后 让 
Sun 这 部 机 器 也 


能 够 分 享 档案 数据 呢 ? 4 ， 为 了 解决 这 样 的 的 问题 ， 他 老兄 束 自 行 写 
了 个 program 去 


侦 测 当 DOS 与 DEC 的 Unix 系统 在 进行 数据 分 享 传送 时 所 使 用 到 的 通 
讯 协 议 信 息 ， 然 


后 将 这 些 重 要 的 信息 搞 取 下 来 ， 并 且 基 于 上 述 所 找到 的 通讯 协议 而 开 
发 出 Server 


Message Block (SMB) 这 个 文件 系统 ， 而 束 古 这 套 SMB 软件 就 能 够 让 
Unix 与 DOS 互 


相 的 分 享 数 据 吗 


Tips: 
再 次 的 给 他 强调 一 次 ， 在 Unix Like 上 面 可 以 分 享 档案 资料 的 

file system 是 NFS， 那 么 在 Windows 上 面 使 用 的 『 网 络 上 的 芳 邻 J 

所 使 用 的 文件 系统 则 称 为 Common Internet File System, CIFS 

取 名 SAMBA 的 主因 人 和信 

既然 写成 了 软件 ， 想 一 想 ， 总 是 需要 注册 一 下 商标 吧 ! 因此 Tridgell 就 


申请 了 


SMBServer (Server Message Block 的 人 简写) 这 个 名 字 来 做 为 他 撰写 的 这 
个 软件 的 商标 ， 


可 惜 的 是 ， 因 为 SMB 是 没有 意义 的 文字 ， 因 此 没有 办 法 达成 注册 。 既 
然 如 此 的 话 ， 那 


么 能 不 能 在 字典 里 面 找 到 相关 的 字 词 可 以 做 为 商标 来 注册 呢 ? 翻 了 老 
半天 ， 呵 呵 ! 这 


个 SAMBA 刚好 合 有 SMB ， 叉 是 热情 有 劲 的 拉丁 舞蹈 的 名 称 ， 不 然 
束 用 这 个 名 字 来 做 


为 商标 好 了 ! 这 成 为 我 们 今天 所 使 用 的 SAMBA 的 名 称 由 来 啦 ! 和信 


16.1.2 SAMBA 常见 的 应 用 
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由 上 面 说 明 的 SAMBA 发 展 绿 由 ， 你 束 应 该 不 难 知道 ，SAMBA 最 初 
发 展 的 主要 目下 


是 要 用 来 沟通 Windows 与 Unix Like 这 两 个 不 同 的 作业 平台 ， 那 么 
SAMBA 可 以 进行 


哪些 动作 呢 ? 想 一 想 网 廊 能 做 的 吧 ! 
0 分 享 档案 与 打印 机 服务 ; 


0 可 以 提供 用 户 登 入 SAMBA 主机 时 的 身份 认证 ， 以 提供 不 同 身份 者 
的 个 别 数 


据 ; 

0 可 以 进行 windows 网 络 上 的 主机 名 解析 (NetBIOS name) 
0 可 以 进行 装置 的 分 享 (例如 Zip, CDROM...) 
底下 我 们 来 谈 几 个 SAMBA 服务 器 的 应 用 实例 吧 

利用 软件 直接 编 修 WwWW 主机 上 面 的 网 页 数据 


相信 很 多 人 部 是 利用 个 人 计算 机 将 网 页 制作 完毕 之 后 ， 再 以 类 似 FTP 
之 类 的 服务 


将 网 页 上 传 到 WWW 主机 的 ， 但 这 样 有 个 困扰 ， 那 就 是 同时 在 客户 端 
与 WWW 主机 上 头 


都 有 一 份 网 页 数据 ， 稼 稼 会 乐 记 哪 一 份 是 最 新 的 ， 最 碎 烦 的 是 ， 有 时 
候 下 载 下 来 的 档 


案 已 经 经 过 好 多 修改 了 ， 却 在 下 次 的 FTP 作业 ， 不 小 心 又 下 载 一 次 旧 
数据 ， 结果 将 已 


经 修改 过 的 数据 镍 兰 过 去 一 天 呐 ! 又 要 重 写 一 授 .…. 真 是 讨 大 ! 


如 果 你 有 安装 SAMBA 服务 器 的 设 定 的 话 ， 那 么 透 过 【网 芳 4 的 功 
能 ， 直 接 联 机 远 


程 服 务 右 所 提供 的 目录 ， 如 此 一 来 你 可 以 直接 在 你 的 个 人 计算 机 上 面 
修改 主机 的 档案 


数据 ， 只 有 一 份 正确 的 数据 而 已 喔 ! 这 就 有 点 像 是 了 在线 编 修 」 呢 ， 


一 修改 完成 ， 在 

Internet 上 面 可 以 立刻 检验 ， 方 便 的 很 呐 ! 
0 

做 成 可 直接 联机 的 文件 服务 天 


在 乌 哥 过 去 行 过 的 实验 室 中 ， 由 于 计算 机 数量 不 多 ， 研 究 生 第 第 会 使 
用 到 不 同 的 计 

算 机 (因为 大 家 都 得 抢 没 有 人 用 的 计算 机 啊 ! ) ， 此 外 ， 也 常常 有 研究 
生 拿 目 己 的 

NoteBook 来 工作 ， 因 此 ， 有 些 团队 的 数据 束 分 散在 各 个 计算 机 当中 ， 
使 用 上 相当 的 不 


方便 。 这 个 时 候 ， 乌 哥 就 使 用 SAMBA 将 硬盘 空间 分 享 出 来 ， 由 于 使 
用 者 要 登入 SAMBA 


这 个 服务 器 主机 时 需要 输入 用 户 数据 (账号 与 密码 )， 而 不 同 的 登入 者 
会 取得 不 一 样 的 


目 系 资源 ， 所 以 可 以 避免 目 己 的 数据 在 公用 计算 机 上 面 们 先 视 ， 此 
外 ， 在 不 同 的 公用 


计算 机 上 面 都 可 以 登入 SAMBA 主机 ， 数 据 的 使 用 上 面 真 是 相当 的 棒 
py ! 


打印 机 服务 人 硕 
net.giang@hotmail.com 
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SAMBA 除了 分 享 文件 系统 外 ， 也 可 以 分 享 打印 机 喔 ， 乌 哥 的 研究 室 好 
几 部 计算 机 残 


是 直接 以 Linux 分 享 的 打印 机 来 印 制 报告 的 。 你 会 说 『 啊 Windows 也 
可 以 办 的 到 啊 ! 


没有 什么 了 不 起 的 ! 4 是 啊 。 但 是 乌 哥 认为 ， 用 Linux 做 为 服务 万 主 
机 时 毕竟 还 是 比 


较 稳 定 一 点 ， 可 以 24 小 时 且 全 年 无 休 的 努力 工作 呐 。 此 外 ， 因 为 目前 
透 过 【网 络 上 的 


塘 邻 上 来 攻击 局 域 网 络 的 Windows 操作 系统 的 计算 机 病毒 实在 是 太 多 
了 ， 防 不 胜 防 ， 


Linux 对 于 这 样 的 攻击 并 没有 很 大 的 影响 (因为 常见 的 攻击 手法 均 针 对 
Windows 而 


来 ~)， 所 以 也 比较 安全 一 些 说 ~ 


SAMBA 的 应 用 挺 广 泛 的 ， 尤 其 对 于 局 域 网 络 内 的 计算 机 来 说 ， 更 是 一 
项 不 可 多 得 的 


好 用 的 服务 器 ， 虽然 或 许 你 会 说 ，SAMBA 的 功能 不 过 是 模仿 
Windows 的 网 和 芳 以 及 AD 


相关 的 软件 ， 那 我 直接 使 用 Windows 不 就 OK 了 ?可惜 的 是 ， 
Windows XP 对 于 网 芳 


的 联机 限制 依 版 本 而 有 所 不 同 ， 以 企业 第 见 的 专业 版 (Professional) 来 
说 ， 他 仅 能 


提供 最 多 同时 十 个 联机 到 网 芳 的 联机 能 力 ， 这 ... 不 太 够 用 吧 ! 所 以 
史 ，SAMBA 稳定 、 


0 值得 学 习 吧 ! 入 人! 更 多 的 应 用 你 可 以 目 行 发 
归 员 | 


16.1.3 SAMBA 使 用 的 NetBIOS 通讯 协议 
事实 上， 就 像 NFS 是 架构 在 RPC Server 上 面 一 样 ，SAMBA 这 个 文件 


系统 旦 架构 


在 NetBIOS (Network Basic Input/Output System, NetBIOS) 这 个 通讯 协 
议 上 面 所 开 


发 出 来 的 。 既 然 如 此 ， 我 们 当然 融 要 了 解 一 下 NetBIOS 哆 ! 


最 早 IBM 发 展 出 NetBIOS 的 目的 仅 是 要 让 局 域 网 络 内 少数 计算 机 进行 
网 络 链接 


的 一 个 通讯 协议 而 已 ， 所 以 考虑 的 角度 并 不 是 针对 大 型 网 络 ， 因 此 ， 
这 个 NetBIOS 是 


无 法 跨 路 由 的 (Router / Gateway)。 这 个 NetBIOS 在 局 域 网 络 内 实在 是 
很 好 用 ， 所 


以 微软 的 网 络 架 构 束 使 用 了 这 个 吃 吃 来 进行 沟通 的 呐 ! 而 SAMBA 最 
早 发 展 的 时 候 ， 其 


实 是 想 要 让 Linux 系统 可 以 加 入 Windows 的 系统 当中 来 分 享 使 用 彼此 
的 档案 数据 的 ， 


所 以 当然 SAMBA 就 染 构 在 NetBIOS 发 展 出 来 喝 。 


不 过 NetBIOS 是 无 法 跨 路 由 的 ， 因 此 使 用 NetBIOS 发 展 起 来 的 服务 句 
理论 上 也 是 


无 法 跨越 路 由 的 呢 ! 那么 该 服务 万 的 使 用 范围 不 融 受 限 相 当 的 多 了 ? 
好 在 ， 我 们 还 有 


所 谓 的 NetBIOS over TCP/IP 的 技术 呢 ! 这 是 什么 样 的 技术 啊 ? 


举 个 例子 来 说 好 了 ， 我 们 知道 TCP/IP 是 目前 网 络 连接 的 基本 协议 ， 现 
在 我 们 将 


NetBIOS 想 成 是 一 封 明 信 片 ， 这 个 明信片 只 能 让 你 目 己 欣 质 而 已 ， 如 
朱 今 天 我 们 要 将 


这 个 明信片 送 到 远方 的 朋友 那 边 时 ! 就 需要 透 过 邮件 系统 (例如 邮局 
啦 、 国 际 快递 啦 等 


等 的 ) 来 传送 了 ! 这 个 TCP/IP 束 可 以 视 为 邮件 传递 系统 啦 ! 透 过 这 个 
NetBIOS over 


TCP/IP 的 技术 ， 我 们 就 可 以 跨 路 由 的 使 用 SAMBA 服务 器 所 提供 的 功 
能 咯 ! 当然 啦 ， 


目前 SAMBA 还 是 比较 广泛 的 使 用 在 LAN 里 面 说 。 
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Tips: 

或 许 你 会 发 现在 Windows 网 络 设 定 里 面 各 和 看 到 NetBEUI 这 个 哆 
吃 ， 那 是 什么 呢 ? 那个 是 NetBIOS Extened User Interface 的 简 

写 ， 也 是 IBM 在 NetBIOS 发 展 出 来 之 后 的 改 民 版 本 。 虽 然 这 两 者 
的 技术 不 太 相 同 ， 不 过 ， 我 们 只 要 知道 一 些 简单 的 概念 就 可 以 了 ! 
所 以 ， 在 这 里 我 们 不 针对 NetBEUI 来 介绍 。 

16.1.4 SAMBA 使 用 的 daemons 


NetBIOS 当初 发 展 时 就 着 眼 在 局 域 网 络 内 的 快速 数据 交流 ， 而 因为 是 
定义 在 局 域 网 


络 内 ， 因 此 他 并 没有 使 用 类 似 TCP/IP 之 类 的 传输 协议 ， 也 就 不 需要 IP 
的 设 定 。 如 此 


一 来 数据 如 何在 两 部 主机 之 间 交 流 呢 ? 其 实 主机 在 NetBIOS 协议 当中 
的 定义 为 使 用 


TNetBIOS NameJd ， 每 一 部 主机 必须 要 有 不 同 的 NetBIOS Name 才 
行 ， 而 档案 数据 就 


是 在 不 同 的 NetBIOS name 之 间 沟 通 吗 ! 我 们 以 一 个 网 芳 的 设 定 来 作 简 
单 的 说 明 好 了 : 


1. 取得 对 方 主 机 的 NetBIOS name 定位 该 主机 所 在 : 


当 我 们 想 要 登入 某 部 Windows 主机 使 用 他 所 提供 的 档案 数据 时 ， 必 有 需 
要 加 入 该 


Windows 主机 的 群 组 (Workgroup)， 并 且 我 们 的 机 器 也 必需 要 设 定 一 个 
主机 和 名， 


注意 喔 ， 这 个 主机 名 跟 Hostname 是 不 一 样 的 ， 因 为 这 个 主机 名 是 架构 
从 


NetBIOS 协议 上 的 ， 我 们 可 以 简单 的 称呼 他 为 NetBIOS Name。 在 同一 
5 和 2 目光 


中 ，NetBIOS Name 必需 要 是 独一无二 的 喔 ! 
2. 利用 对 方 给 予 权 限 存 取 可 用 资源 : 


在 我 们 找到 该 主机 名 后 ， 是 否 能 登入 该 对 方 主机 或 者 是 取 用 对 方 主机 
所 提供 的 资 


源 ， 还 要 看 对 方 Windows 主机 有 没有 提供 我 们 使 用 的 权限 呐 ! 所 以 ， 
并 不 是 全 


入 该 Windows 主机 之 后 我 们 避 ® 可 以 无 限制 的 取 用 该 主机 的 档案 俯 源 
了 。 也 束 古 


说 ， 如 果 对 方 主机 人 允许 你 登入 ， 但 是 却 没 有 开放 任何 资源 让 你 取 用 ， 
呵呵 ， 有 登 


入 主机 也 无 法 查看 对 方 的 硬盘 里 面 的 数据 的 啦 ! 
我 们 的 SAMBA 则 是 透 过 两 文 服务 来 控制 这 两 个 步 台 ， 分 别 是 : 


Dnmbd : 这 个 daemon 是 用 来 管理 工作 组 啦 、NetBIOS name 啦 等 等 的 
解析 。 


主要 利用 UDP 协议 开启 port 137, 138 来 负责 名 称 解 析 的 任务 ; 


DD smbd : 这 个 daemon 的 主要 功能 就 是 用 来 管理 SAMBA 主机 分 享 的 
目录 、 档 


案 与 打印 机 等 等 。 主 要 利用 可 靠 的 TCP 协议 来 传输 数据 ， 开 放 的 端口 
口 为 139 


及 445( 不 一 定 存在 )。 


所 以 吻 ， SAMBA 每 次 启动 至 少 都 需要 有 这 两 个 daemons 喔 ! 这 可 不 
护 记 哆 ! 而 


当 我 们 启动 了 SAMBA 之 后 ， 主 机 系统 就 会 启动 137, 138 这 两 个 UDP 
及 139070 


TCP 坊 口 ， 这 也 不 要 忘记 了 ! 因为 后 面 设 定 防火 墙 的 时 候 ， 还 会 使 用 
到 这 三 个 port 的 


呢 ! 
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PCB 


16.1.5 联机 模式 的 介绍 (peer/peer, domain model) 


SAMBA 服务 器 的 应 用 相当 的 广泛 ， 而 且 可 以 依照 不 同 的 网 域 联 机 方 
式 ， 与 不 同 的 用 


户 账 号 密码 的 控 管 方式 来 进行 分 类 。 例 如 最 常见 的 Workgroup 及 
Domain 两 种 方式 的 


! 质 下 我 们 就 古 要 来 谈 一 谈 这 两 种 最 音 见 的 局 域 网 络 的 联 
儿 模 式 : 


peer/peer (对 等 模式 ) 及 domain model ( 主 控 模 式 )。 
D 
peer/peer (Workgroup model, 对 等 模式 ): 


peer 有 同等 、 同 蕴 的 意思 存在 ， 所 以 由 字面 上 来 看 ，peer/peer 当然 就 
日 二 已 立 
是 指 两 部 


主机 的 地 位 相等 哆 ! 这 是 什么 意思 呢 ? 简单 的 说 ， 假 如 在 局 域 网 络 里 
面 的 所 有 PC 均 


可 以 在 自己 的 计算 机 上 面 管理 自己 的 账号 与 密码 ， 同 时 每 一 部 计算 机 
也 都 具有 独力 执 


行 各 项 软件 的 能 力 ， 只 十 藉 由 网 络 将 各 个 PC 链接 在 一 起 而 已 的 一 个 染 
构 ， 所 以 ， 


一 部 机 需 都 是 可 以 独立 运作 的 喔 ! 


0 前 小 型 办 公 室 里 面 是 最 利 见 的 。 例 如 办 公 室 里 面 有 十 
人 


桌 上 可 能 都 安装 有 一 套 Windows 操作 系统 的 个 人 计算 机 ， 而 这 十 部 计 
算 机 都 可 以 独立 


进行 办 公 室 软件 的 执行 啊 、 独 立 上 网 啊 、 独 立 玩 游戏 啊 等 等 的 ， 因为 
这 十 部 计算 机 都 


可 以 独立 运作 ， 所 以 不 会 有 一 部 计算 机 关 掉 ， 其 他 的 计算 机 束 无 法 工 
作 的 情况 发 生 ， 这 


就 是 peer/peer 的 典型 架构 。 


那 在 这 样 的 以 构 撒 下 ， 权 如何 透 过 网 络 联机 来 取得 对 方 的 数据 呢 ? 举 
例 来 说 ， 以 下 


图 的 架构 为 例 ， 在 这 样 的 染 构 下 ， 假 设 vbird (PC A) 写 了 一 个 报告 书 ， 
而 dmtsai (PC 


B) 想 要 以 网 络 直接 取 用 这 个 报告 书 时 ， 那 dmtsai 就 必须 要 知道 vbird 
使 用 的 密码 ， 


并 且 vbird 必须 要 在 PC A 上 面 启用 Windows 的 工资 源 共 享 (或 者 是 共 
旦 之 后 王 才 


能 够 让 dmtsai 联机 进入 喔 (此 时 PC A 为 Server) ! 而 且 ，vbird 可 以 随 
时 依照 目 


己 的 喜好 来 更 改 自己 的 账号 与 密码 ， 而 不 受 dmtsai 的 影响 。 不 过 ， 
dmtsai 就 得 要 取 


得 vbird 同意 取得 新 的 账号 与 密码 后 ， 才 能 够 登入 PC A 喔 ! 反 过 来 
说 ， 同 样 的 ， vbird 


要 取得 dmtsai 的 数据 有 时， 同样 需要 取得 PC B 的 账号 与 密码 后 ， 才 能 够 
顺利 登入 啊 


(此 时 PC A 为 Client 喔 )! 因为 PC A, PC B 的 角色 与 地 位 都 同时 可 以 为 
Client 与 


Server ， 所 以 就 是 peer/peer 的 架构 了 ! 


图 16.1-1、peer/peer 联机 的 示意 图 
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PDC (帐号 /密码 设 定 ) 
vbird/12345 


vbird 用 同 


使 用 peer/peer 的 架构 的 好 处 是 每 部 计算 机 均 可 以 独立 运作 ， 而 不 受 他 
人 的 影响 ! 


不 过 ， 缺 点 就 是 当 整 个 网 域内 的 所 有 人 员 都 要 进行 数据 分 享 时 ， 光 是 
知道 所 有 计算 机 


里 面 的 账号 与 密码 ， 束 会 很 伤 脑筋 了 ! 所 以 ，Peer/Peer 的 架构 是 比较 


适合 (1) 小 型 


的 网 域 ， 或 者 是 (2) 没 有 需要 常常 进行 档案 数据 分 享 的 网 络 环境 ， 或 者 
是 (3) 每 个 使 用 


首都 独 目 拥有 该 计算 机 的 拥有 权 ( 束 是 说 ， 该 计算 机 是 用 户 的 ， 而 不 是 
公用 的 啦 ! ) 而 ， 


如 琳 该 单位 的 所 有 PC 均 是 公有 的 (例如 学 校 的 计算 机 教室 环境 )， 而 且 


你 需要 统一 控 


管 整个 网 域 里 面 的 账号 与 密码 的 话 ， 那 束 得 使 用 底下 的 domain models 
了 | 


D 
domain model ( 主 控 模式 ) 


假设 今天 你 服务 的 单位 有 10 部 计算 机 ， 但 是 你 的 单位 有 20 个 员工 ， 
这 也 束 是 说 ， 


这 20 个 员工 轮流 抢 着 用 这 10 部 计算 机 。 如 果 每 部 计算 机 都 如 同 
peerpeer 的 架构 


时 ， 那 么 每 部 计算 机 都 需要 输入 这 20 个 员工 的 账号 与 密码 来 提供 他 们 
登入 喔 。 而 且 ， 


今天 假如 有 个 员工 想 要 变更 目 己 的 密码 时 ， 束 需要 到 10 台 计 算 机 上 面 
进行 密码 变更 的 


作业 ! 否则 他 惑 必须 要 记得 这 10 部 计算 机 里 面 ， 那 一 部 计算 机 是 记忆 
那 一 个 密码 .… 


好 烦 那 ~ 


如 果 上 述 是 这 样 的 情况 ， 使 用 peer/peer 架构 就 不 是 一 个 好 方法 了 ! 这 
个 时 候 束 


需要 厌 由 domain model 来 达成 你 的 需求 啦 ! 所 谓 的 domain model 概念 
其 实 也 很 商 单 ， 


既然 使 用 计算 机 资源 需要 账号 与 密码 ， 那么 我 将 所 有 的 账号 与 密码 都 
放置 在 一 部 主 控 


计算 机 (Primary Domain Controller, PDC) 上 面 ， 在 我 购 网 域 里 面 ， 任 何 
人 想 要 使 用 


任何 计算 机 时 ， 都 需要 在 屏幕 前 方 输入 账号 与 密码 ， 然 后 通通 厌 由 
PDC 服务 右 的 辨识 


后 ， 才 给 予 适 当 的 权限 。 也 就 古 说 ， 不 同 的 映 份 还 具有 不 一 样 的 计算 
机 资源 权限 束 是 了 ! 


例如 压 下 的 图 示 : 


图 16.1-2、domain model 联机 的 示意 图 
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PDC 服务 右 控 管 整个 网 域 里 面 的 各 个 机 器 (PC A ~ PC D) 的 账号 与 密码 
的 信息 ， 


假如 今天 有 个 使 用 者 账号 名 称 为 vbird ， 且 密码 为 12345 时 ， 他 不 论 使 
用 哪 一 部 计算 


机 (PC A ~ PC D) 只 要 在 屏幕 前 方 输入 vbird 与 他 的 密码 ， 则 该 机 器 会 
先 到 PDC 上 


面 查验 是 否 有 vbird 以 及 vbird 的 密码 ， 并 且 PDC 主机 会 给 予 vbird 这 
个 用 户 相 关 


的 计算 机 资源 权限 。 当 vbird 在 任何 一 部 主机 上 面 登入 成 功 后 ， 他 吏 可 
以 使 用 相关 的 


计算 机 资源 了 ! 
这 样 的 架构 比较 适合 人 来 人 往 的 企业 架构 ， 当 系统 管理 员 要 控 管 新 进 
人 员 的 计算 机 


资源 使 用 权时 ， 可 以 直接 针对 PDC 来 修改 就 好 了 ， 不 需要 每 一 部 主机 
都 去 修 修改 改 的 ， 


对 于 系统 管理 员 来 说 ， 这 样 的 架构 在 控 管 账号 资源 上 ， 当 然 古 比 较 们 
单 的 啦 ! 


各 种 架构 适用 的 环境 与 适用 的 人 都 不 相同 ， 并 没有 那个 是 最 好 啦 ! 请 
依照 你 的 工作 


环境 来 选择 联机 的 模式 史 ! 当然 ，SAMBA 可 以 达到 上 述 两 种 模式 的 
啦 ! 底下 我 们 会 分 


别 来 介绍 喔 ! 
16.2 SAMBA 服务 絮 的 基础 设 定 


SAMBA 这 个 软件 几乎 在 所 有 的 Linux distributions 上 面 都 有 提供 ， 
为 即使 你 


的 Linux 仅 做 为 个 人 桌面 计算 机 使 用 时 ， 你 依旧 可 能 会 需要 联机 到 远 
程 的 Windows 


网 亏 ， 那 个 时 候 束 得 要 samba 提供 的 客户 问 软 件 功 能 路 ! 因此 你 只 
直接 安装 系统 


面 提供 的 默认 samba 版 本 即 可 。 瓜 下 我 们 会 先 介 绍 samba 服务 磊 ， 然 
后 再 介绍 客户 端 


功能 喔 ! 
16.2.1 Samba 所 需 软件 及 其 软件 结构 


目前 常见 的 samba 版 本 为 3.x 版 ， 旧 版 的 2.x 版 在 设 定 上 有 点 不 一 样 ， 
因此 在 


进入 设 定 前 请 先 确认 你 的 samba 版 本 。 唱 们 的 CentOS 6.x 主要 提供 的 


是 Samba 3.x 


的 版 本 ， 不 过 也 有 释 出 4.x 的 版 本 (samba4)， 我 们 这 里 主要 介绍 的 是 预 
设 的 3.x 版 


本 的 。 那 么 你 需要 什么 软件 呢 ? 基 本 上 有 这 些 : 


0 samba: ”这 个 软件 主要 提供 了 SMB 服务 器 所 需 的 各 项 服务 程序 
(smbd 及 


nmbd)、 的 文件 档 、 以 及 其 他 与 SAMBA 相关 的 logrotate 配置 文件 及 
开机 默认 


选项 档案 等 ; 


0 samba-client: 这 个 软件 则 提供 了 当 Linux 做 为 SAMBA Client 端 时 ， 
所 


需要 的 工具 指令 ， 例 如 挂 载 SAMBA 文件 格式 的 mount.cifs 、 取 得 类 似 
网 万 相 


天 树 形 图 的 smbtree 等 等 ; 


0 samba-common: 这 个 软件 提供 的 则 是 服务 善 与 客户 端 都 会 使 用 到 的 
数据 ， 


包括 SAMBA 的 主要 配置 文件 (smb.conf)、 语 法 检验 指令 (testparm) 等 
笠 ， 
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这 三 个 软件 你 都 得 要 安装 才 行 喔 ! 如 果 尚 未 安装 的 话 ， 使 用 yum 去 装 
好 它 吧 ! 安 


装 完毕 之 后 ， 你 可 以 依 序 察看 一 下 Samba 的 软件 结构 喔 ! 与 它 相 关 的 
配置 文件 基本 上 


有 这 些 : 
D /etc/samba/smb.conf: 这 是 Samba 的 主要 配置 文件 ， 基 本 上 ， 咱 们 的 


Samba 就 仅 有 这 个 配置 文件 而 已 ， 且 这 个 配置 文件 本 喘 就 是 很 详细 的 
说 明文 件 了 ， 


请 用 vim 去 查阅 它 吧 ! 主要 的 设 定 项 目 分 为 服务 器 的 相关 设 定 
(global)， 如 工 


作 组 、NetBIOS 名 称 与 密码 等 级 等 ， 以 及 分 至 的 目录 等 相关 设 定 ， 如 
实际 目录 、 


分 享 资源 名 称 与 权限 等 等 两 大 部 分 。 


D /etc/samba/lmhosts: ”早期 的 NetBIOS name 需 额 外 设 定 ， 因 此 需要 这 
; 
| 


lmhosts 的 NetBIOS name 对 应 的 卫 档 。 事 实 上 它 有 点 像 是 /etc/hosts 
和 


bk 


/etc/hosts 搞 混 


作为 
你 的 NetBIOS name， 因 此 这 个 档案 不 设 定 也 无 所 谓 。 


0 /etc/sysconfig/samba:， 提供 启动 smbd, nmbd 时 ， 你 还 想 要 加 入 的 相 
天 


功能 ! 只 不 过 这 个 Imhosts 对 应 的 主机 名 是 NetBIOS name 喔 ! 不 要 跟 
了 ! 目前 Samba 预 设 会 去 使 用 你 的 本 机 名 称 (hostname) 


服务 参数 。 


D /etc/samba/smbusers: ”由 于 Windows 与 Linux 在 管理 员 与 访客 的 账号 
名 
称 不 一 致 ， 例 如 : administrator (windows) 及 root(linux)， 为 了 对 应 这 
两 


者 之 间 的 账号 关系 ， 可 使 用 这 个 档案 来 设 定 
DD /var/lib/samba/private/{passdb.tdb,secrets.tdb}: ”管理 Samba 的 用 
尸 账 号 /密码 时 ， 会 用 到 的 数据 库 档 案 ; 


吕 /usr/share/doc/samba-< 版 本 >: ”这 个 目录 包含 了 SAMBA 的 所 有 相关 
的 技 


术 手 册 喔 ! 也 束 是 说 ， 当 你 安装 好 了 SAMBA 之 后 ， 你 的 系统 里 面 束 
已 经 含有 相 


当 丰 富 而 完整 的 SAMBA 使 用 手册 了 ! 值得 高 兴 吧 ! 和 人 和 人， 所 以 ,赶紧 
目 行 参考 


喔 | 


至 于 和音 用 的 脚本 文件 案 方面 ， 知 分 为 服务 郁 与 客户 端 功 能 ， 则 主要 有 
展 下 这 几 个 六 


据 : 
0 /usr/sbin/{smbd,nmbd}: 服务 器 功能 ， 束 是 最 重要 的 权限 管理 (smbd) 
以 


及 NetBIOS name 查询 (nmbd) 两 个 重要 的 服务 程序 ; 


吕 /usr/bin/{tdbdump,tdbtool}: 服务 絮 功 能 ， 在 Samba 3.0 以 后 的 版 本 
中 ， 


用 户 的 账号 与 密码 参数 已 经 转 为 使 用 数据 库 了 ! Samba 使 用 的 数据 库 
名 称 为 TDB 


(Trivial DataBase)。 既然 是 使 用 数据 库 ， 当 然 要 使 用 数据 库 的 控制 指令 
来 处 


理 史 。tdbdump 可 以 察看 数据 库 的 内 容 ，tdbtool 则 可 以 进入 数据 库 操 
作 接 口 直 


接手 动 修改 帐 密 参 数 。 不 过 ， 你 得 要 安装 tdb-tools 这 个 软件 才 行 ; 


0 /usr/bin/smbstatus: 服务 器 功能 ， 可 以 列 出 目前 Samba 的 联机 状况 ， 
名 


括 每 一 条 Samba 联机 的 PID, 分 享 的 资源 ， 使 用 的 用 户 来 源 等 等 ， 让 你 


理 Samba 啦 ; 
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0 


DAmsrvbin/{smbpasswd,pdbedit}: 服务 器 功能 ， 在 管理 Samba 的 用 户 账 
号 


密码 时 ， 早期 是 使 用 smbpasswd 这 个 指令 ， 不 过 因为 后 来 使 用 TDB 数 
据 库 了 ， 


因此 建议 使 用 新 的 pdbedit 指令 来 管理 用 户 数据 ; 


上 /usr/bin/testparm: 服务 器 功能 ， 这 个 指令 主要 在 检验 配置 文件 
smb.conf 


的 语法 正确 与 否 ， 当 你 编辑 过 smb.conf 时 ， 请 务必 使 用 这 个 指令 来 检 


个 二 从 
避免 因为 打字 错误 引起 的 困扰 啊 ! 


0 /sbin/mount.cifs: 客户 端 功能 ， 在 Windows 上 面 我 们 可 以 设 定 『 网 络 
红 


动 右 机 J 来 连接 到 目 己 的 主机 上 面 。 在 Linux 上 面 ， 我 们 则 起 透 过 


mount 


(mount.cifs) 来 将 远程 主机 分 享 的 档案 与 目录 挂 载 到 自己 的 Linux 主机 
上 面 


哪 ! 
0 msvbin/smbclient: 客户 端 功 能 ， 当 你 的 Linux 主机 想 要 厌 由 【网 络 
NE 


0 的 功能 来 查看 别 台 计算 机 所 分 享 出 来 的 目录 与 洲 置 时 ， 就 可 
以 使 用 


smbclient 来 查看 啦 ! 这 个 指令 也 可 以 使 用 在 目 己 的 SAMBA 主机 上 
面 ， 用 来 查 


看 是 否 设 定 成 功 哩 ! 


0 msrvbin/nmblookup: 客户 端 功能 ， 有 点 类 似 nslookup 啦 ! 重点 在 查 
出 


NetBIOS name 就 是 了 。 

Dusrvbin/smbtree: 客户 端 功 能 ， 这 玩意 就 有 点 像 Windows 系统 的 网 络 
的 广 邻 显示 的 结果 ， 可 以 显示 类 似 『 徘 近 我 的 计算 机 J 之 类 的 数据 ， 

能 够 查 到 

工作 组 与 计算 机 名 称 的 树 状 目录 分 布 图 ! 


大 致 的 软件 结构 就 是 这 样 ， 底 下 就 准备 来 讲 一 个 简单 的 案例 吧 ! 这 样 
比较 好 介绍 配 


置 文件 项 目 啦 ! 
16.2.2 基础 的 网 芳 分 享 流程 与 smb.conf 的 常用 设 定 项 日 


既然 Samba 十 要 加 入 Windows 的 网 廊 服 务 当 中 ， 所 以 它 的 设 定 方式 应 
该 是 要 与 网 


万 过 不 多 才 是 。 所 以 我 们 先 来 聊 一 聊 Windows 的 一 些 网 方 设 定 方 法 再 
说 。 在 早期 


Windows 的 网 芳 设 定 真 是 很 简单 ， 不 过 也 因为 太 简 单 ， 所 以 产生 的 安 
全 问题 可 是 相当 


的 麻烦 的 。 后 来 在 Windows XP 的 SP2 (服务 包 第 二 版 ) 之 后 加 入 了 很 多 
的 预 设防 火场 


机 制 ， 因 此 使 用 网 亏 的 预 设 限制 营 钊 会 是 这 样 的 : 


0 服务 器 与 客户 端 之 间 必 须要 在 同一 个 网 域 当 中 (否则 需要 修改 
Windows 预 


设防 火 墙 ); 


0 最 好 设 定 为 同一 工作 组 ; 
0 主机 的 名 称 不 可 相同 (NetBIOS name); 
0 专业 版 Windows XP 最 多 仅 能 提供 同时 10 个 用 户 联机 到 同一 台 网 芳 


服务 
船上 。 
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工作 组 与 主机 名 的 设 定 ， 你 可 以 在 了 我 的 计算 机 4 右键 单 击 ， 选 择 内 
容 后 去 修订 相 


天 的 设 定 值 。 当 你 的 Windows 主机 群 符合 上 述 的 条 件 后 ， 束 很 容易 处 
理 网 芳 分 享 的 工 


作 啦 ! 分 享 的 步 又 一 般 是 这 样 的 : 


1. 叫 出 档案 总 管 ， 然 后 在 要 分 盏 的 目 孙 、 磁 盘 或 到 置 (如 打印 机 ) 上 面 
按 下 右 


键 ， 选 择 『 共 享 」， 人 然后 就 能 够 设 定 好 分 享 的 数据 了 ; 


2. 最 好 建立 一 组 给 用 户 使 用 的 账号 与 密码 ， 让 其 他 主机 的 用 户 可 以 透 
过 该 账号 


密码 联机 进入 使 用 网 芳 分 享 的 资源 ; 
例题 : 
假设 你 打开 Windows XP 的 档案 总 管 ， 在 D:\VBird\Data 这 个 目录 下 ， 


人 
『 你 了 解 


这 个 安全 风险 ， 但 仍 不 要 执行 精灵 而 共享 档案 ， 请 按 这 里 4 ， 然 后 勾 
和 


网 络 上 共享 这 个 文件 夹 4 ， 最 后 共享 的 名 称 你 输入 了 : TVBGameJ ， 
请 问 ， 假 


设 你 的 IP 是 192.168.100.20 ， 那 么 你 的 用 户 会 看 到 什么 网 址 列 ? 


网 芳 的 资源 名 称 通常 的 写法 是 : 『 NP\ 分 享 资源 名 称 上 4 ， 我 们 的 分 享 
资 


源 名 称 为 VBGame， 因 此 最 终 这 个 分 享 的 资源 名 称 应 该 是 : 
『 \192.168.100.20\VBGame 4」 才 对 ! 很 多 朋友 都 会 写成 : 
『 \192.168.100.20\VBirdGame J 那 错 得 很 离谱 喔 ! 


真是 有 够 简单 的 ! 那么 Samba 怎么 设 定 啊 ? 也 是 很 简单 ， 依 据 上 述 的 
限制 以 及 流 


程 你 可 以 这 样 想象 : 


1. 服务 器 整体 设 定 方面 : 在 smb.conf 当中 设 定 好 工作 组 、NetBIOS 主 
机 和 名、 


密码 使 用 状态 (无 密码 分 享 或 本 机 密码 ) 等 等 
2. 规划 准备 分 享 的 目录 参数 ， 在 smb.conf 内 设 定好 预计 要 分 享 的 目录 
规 


或 泪 置 
以 及 可 供 使 用 的 账号 数据 ; 


3. 建立 所 需要 的 文件 系统 : 根据 步骤 2 的 设 定 ， 在 Linux 文件 系统 当 
中 建立 


好 分 吾 出 去 的 档案 或 装置 ， 以 及 相关 的 权限 参数 ; 


4. 建立 可 用 Samba 的 账号 : 根据 步骤 2 的 设 定 ， 建 立 所 需 的 Linux 实 
体 账 


号 ， 再 以 pdbedit 建立 使 用 Samba 的 密码 ; 
5. 启动 服务 :启动 Samba 的 smbd, nmbd 服务 ， 开 始 运转 哩 ! 


根据 上 面 的 流程 ， 其 实 我 们 最 需要 知道 的 就 是 smb.conf 这 个 配置 文件 
的 信息 就 古 


了 。 所 以 和 有 先 我 们 束 要 来 介绍 一 下 这 个 档案 的 设 定 方式 哆 ! 这 个 档案 
其 实 可 以 分 为 两 


部 份 来 看 ， 一 个 是 主机 信息 部 分 ， 在 smb.conf 当中 以 [global] (全 领域 ) 
作为 设 定 


的 依据 ;， 另 一 个 则 是 分 享 的 信息 ， 以 个 别 的 目录 名 称 为 依据 。 男 外 ， 
由 于 Samba 主要 


是 想 加 入 网 芳 功 能 ， 因 此 在 smb.conf 内 的 很 多 设 定 都 与 Windows 类 似 
喔 : 


在 smb.conf 当中 ， 井 字号 与 分 号 (# 跟 ;) 都 是 批注 符号 ; 


0 在 这 个 配置 文件 中 ， 大 小 写 是 没关系 的 ! 因为 Windows 没 分 大 小 
写 ! 
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0 

smb.conf 的 服务 器 整体 参数 : [global] 项 目 

在 smb.conf 这 个 配置 文件 当中 的 设 定 项 目 有 点 像 底下 这 样 : 


# 会 有 很 多 加 上 # 或 ; 的 批注 说 明 ， 你 也 可 以 自行 加 上 来 提醒 自己 相关 
设 定 


[globalj 


参数 项 目 = 设 定 内 容 


[分 享 资源 名 称 ] 


参数 项 目 = 设 定 内 容 


在 [global] 当中 的 就 是 一 些 服务 器 的 整体 参数 了 ， 包 括 工 作 组 、 主 机 的 
NetBIOS 名 


称 、 字 符 编 码 的 显示 、 登 录 文件 的 设 定 、 是 否 使 用 密码 以 及 使 用 密码 
验证 的 机 制 等 等 ， 


都 是 在 这 个 [global] 项 目 中 设 定 的 。 至 于 [分 圣 资 源 名 称 ] 则 是 针对 你 开 
放 的 目录 来 


进 权 限 方面 的 设 定 ， 包 括 谁 可 以 浏览 该 目录 、 是 否 可 以 读 写 等 等 参 
数 。 在 [global] 部 


分 关于 主机 名 信息 方面 的 参数 主要 有 : 

0 workgroup = 工作 组 的 名 称 : 注意 ， 主 机 群 要 相同 ; 

DO netbios name = 主机 的 NetBIOS 名 称 啊 ， 每 部 主机 均 不 同 ; 
口 server string = 主机 的 简易 说 明 ， 这 个 随便 写 即 可 。 


男 外 ， 过 去 稼 第 让 使 用 者 心 生 不 满 的 语系 显示 问题 方面 ， 你 务必 要 清 
楚 的 知道 的 是 ， 


SAMBA 服务 器 上 面 的 数据 (例如 mount 位 强 分 区 槽 的 参数 以 及 原本 的 
数据 编码 )， 


SAMBA 服务 器 显示 的 语系 , Windows 客户 端 显示 的 语系 , Windows 客 
户 端 连 上 SAMBA 


的 软件 都 需要 符合 设 定 值 才 行 ! 在 新 版 的 3.x 上 面 有 数 个 提供 这 些 语 
系 转换 的 设 定 喔 ， 


如 下 所 示 : 
0 display charset = 目 己 服 务 历 上 面 的 亚 示 编码 ， 例如 你 在 终端 机 时 所 


阅 的 编码 信息 。 一 般 来 说 ， 与 底下 的 unix charset 会 相同 。 
DU unix charset = 在 Linux 服务 器 上 面 所 使 用 的 编码 ， 一 上 般 来 说 就 是 il8n 
的 编码 嘿 ! 所 以 你 必须 要 参考 /etc/sysconfig/il8n 内 的 『 上 默认 J 编码 。 


吕 dos charset = 就 是 Windows 客户 端的 编码 了 ! 一 般 来 说 我 们 的 繁体 
中 文 


Windows 使 用 的 是 big5 编码 ， 这 个 编码 在 Samba 内 的 格式 被 称 为 『 
cp950 J 


喔 | 
关于 语系 编码 ， 建 议 你 参考 一 下 讨论 区 的 这 一 篇 : 
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我 们 的 网 友 eyesblue 写 得 太 好 了 ! 所 以 建议 大 家 直接 前 往 查 阅 即 可 ! 
在 这 里 乌 哥 


将 该 文章 内 容 作 个 例题 来 玩 玩 。 
例题 : 


假设 你 的 Samba 使 用 的 语系 /etc/sysconfig/il8n 显示 的 是 


『 LANG="zh_TW.big5" 4 ， 而 预计 要 分 享 的 目标 Windows 系统 是 
XP， 那 么 


你 的 语系 数据 应 该 如 何 设 定 ? 


竹 -. 


由 于 Linux, Windows XP 都 使 用 big5 编码 ， 因 此 设 定 值 应 该 是 : 
unix charset = cp950 

display charset = cp950 

dos charset = cp950 

除 此 之 外 ， 还 有 登录 文件 方面 的 信息 ， 包 括 这 些 参 数 : 

0 log file = 登录 档 放置 的 档案 ， 文 件 名 可 能 会 使 用 变量 处 理 ，; 


D0 max log size = 登录 档 最 大 仅 能 到 多 少 Kbytes ， 知 大 于 该 数字 ， 则 会 
被 


rotate 掉 。 

还 有 网 芳 开 放 分 享 时 ， 安 全 性 程度 有 关 的 密码 参数 ， 包 括 这 几 个 : 

D security = share, user domain: 三 选 一 ， 这 三 个 设 定 值 分 别 代 表 : 

o share: 分 享 的 数据 不 需要 密码 ， 大 家 均 可 使 用 (没有 安全 性 ); 

o user : 使 用 SAMBA 服务 器 本 身 的 密码 数据 库 ， 密 码 数据 库 与 底下 的 
passdb backend 有 关 ; 

o domain: 使 用 外 部 服务 器 的 密码 ， 亦 即 SAMBA 是 客户 端 之 意 ， 如 果 
设 定 这 个 项 目 ， 你 还 得 要 提供 『password server = IPJ 的 设 定 值 才 行 ; 

0 encrypt passwords = Yes 代表 密码 要 加 密 ， 注 意 那个 passwords 要 有 s 
才 对 ! 


backend = 数据 库 格 式 ， 如 前 所 述 ， 为 了 加 快速 度 ， 目前 密码 
已 经 较为 使 用 数据 库 了 ! 默认 的 数据 库 格 式微 tdbsam ， 而 预 设 的 档案 
则 放置 到 

/var/lib/samba/private/passwd.tdb ° 


事实 上 Samba 的 密码 方面 设 定 值 很 多 喔 ， 包 括 你 还 可 以 利用 samba 来 


修改 


/etc/passwd 里 头 的 人 物 的 密码 呢 ! 不 过 这 个 时 候 束 得 需要 『 unix 
password sync J 


以 及 『 passwd program J」 这 两 个 参数 值 的 帮忙 了 。 我 们 这 里 先 谈 比 较 
人 简单 的 ， 其 他 


进 阶 的 部 分 可 以 man smb.conf 去 进行 搜寻 查阅 喔 ! 人 人 
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分 享 资源 的 相关 参数 设 定 [分 享 的 名 称 ] 
这 部 分 就 是 我 们 在 前 面 的 小 范例 当中 说 明 的 ， 要 将 (哪个 实际 的 目录 


2 分 至 成 


什么 名 称 ? 中 刮 号 里 面 放 的 是 『 分 至 名称 」! 那 在 这 个 分 享 名 称 内 季 
见 的 参数 有 : 


0 [分 享 名 称 ] : 这 个 分 享 名 称 很 重要 ， 它 是 一 个 『 代 号 4 而 已 。 记 得 回 
去 


看 16.2.2 里 面 提 到 的 那个 范例 ; 
D comment : 只 是 这 个 目录 的 说 明 而 已 1! 


D path : 这 个 分 享 名 称 实际 会 进入 的 Linux 文件 系统 (目录 )。 也 就 是 


说 ， 


在 网 芳 当 中 看 到 的 是 [分 享 ] 的 名 称 ， 而 实际 操作 的 文件 系统 则 是 在 
path 里 头 


所 设 定 的 。 
D browseable : 和 是否 让 所 有 的 用 户 看 到 这 个 项 目 ? 
0 writable : 是 否 可 以 写 入 ? 这 里 需要 注意 一 下 喔 ! 那个 read only 与 


writable 不 是 两 个 亦 相 似 的 设 定 值 吗 ? 如 果 writable 在 这 里 设 定 为 yes 


aN 


J 如 果 read only 同时 设 定 为 yes ， 那 不 束 互 相抵 触 了 ! 那 
| 


是 正确 的 设 定 ? 答案 是 : 最 后 出 现 的 那个 设 定 值 为 主要 的 设 定 ! 

D create mode 与 directory mode 都 与 权限 有 关 的 咯 ! 

Re = 用户, @ 群 组 ， 这 个 项 目 可 以 指定 能 够 进入 到 此 资源 的 特定 
用 者 。 如果 是 @group 的 格式 ， 则 加 入 该 群 组 的 使 用 者 均 可 取得 使 用 
的 权限 ， 

设 定 上 会 比较 简单 ! 


因为 分 诗 的 资源 主要 与 Linux 系统 的 档案 权限 有 关 ， 因 此 里 头 的 设 定 
参数 多 与 权 


限 有 天 。 
D 
smb.conf 内 的 可 用 变量 功能 


为 了 简化 设 定 值 ，Samba 提供 很 多 不 同 的 变量 给 我 们 来 使 用 ， 主 要 有 
展 下 这 攻 


量 喔 : 


取代 目前 的 设 定 项 目 值 ， 所 谓 的 『 设 定 项 目 值 」 就 是 在 [分 享 ] 
里 面包 


内 容 ! 举例 来 说 ， 例 如 底下 的 设 定 范例 : 
[homes| 
valid users = %S 
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因为 valid users 是 允许 的 登入 者 ， 设 定 为 %S 表示 任何 可 登入 的 使 用 者 
都 能 


够 登入 的 意思 ~ 今天 如 果 dmtsai 这 个 使 用 者 登入 之 后 ， 那 个 [homes] 


束 会 目 


动 的 变 成 了 [dmtsai] 了 ! 这 样 可 以 明白 了 吗 ? % 5S 的 用 意 避 ® 是 在 替换 掉 
目前 


[] 里 面 的 内 容 啦 ! 
DD %m: 代表 Client 端的 NetBIOS 主机 名 喔 ! 


0 %M: 代表 Client 端的 Internet 主机 名 喔 ! 就 是 HOSTNAME 。 
0 %L: 代表 SAMBA 主机 的 NetBIOS 主机 名 。 

0 %H: 代表 用 户 的 家 目录 。 

0 %U: 代表 目前 登入 的 使 用 者 的 使 用 者 名 称 

0 %g: 代表 登入 的 使 用 者 的 组 名 。 


0 %h: 代表 目前 这 部 SAMBA 主机 的 HOSTNAME 喔 ! 注意 是 
hostname 不 是 


NetBIOS name 喔 ! 
DD %I: 代表 Client 的 全 x 咯 。 
0 %T: 代表 目前 的 日 期 与 时 间 


以 上 束 是 在 smb.conf 上 头 第 看 到 的 几 种 设 定 项 目 ， 相 信 初 次 接触 
Samba 的 朋友 ， 


看 到 上 头 写 的 质料 肯定 是 一 头 筋 水 的 ! 我 们 故 下 用 几 个 小 范例 来 实际 


的 介绍 smb.conf 


的 设 定 后 ， 你 束 会 知道 这 些 参数 如 何 应 用 了 ! 记得 ， 看 完 帮 下 的 下 苑 
例 后 ， 有 要 回来 再 


将 这 些 参数 的 意义 瞧 一 瞧 ， 而 且 大 有 其 他 额外 的 参数 须知 ， 务 必 有 目 行 


man smb.conf 喔 ! 


重要 的 很 ! 


Tips: 
时 代 变 动 太 快 ， 版 本 变动 太 多 一 要 讲 完 所 有 的 参数 实在 是 很 难 的 一 
件 事 一 所 以 在 这 里 乌 哥 只 讲 一 些 第 用 的 设 定 项 目 ， 很 多 细 项 束 得 要 


靠 各 位 看 官 目 己 努 力 了 一 文 末 也 有 列 出 很 多 Samba 的 在 线 资源 ， 
记 

得 要 查 察 看 ! 

16.2.3 不 需 密码 的 分 享 (security = share, 纯 测 试 ) 


瞎 密 ? 不 需要 密码 就 能 够 使 用 SAMBA 主机 所 提供 的 目录 资源 ? 真 
假 ? 没 错 啦 ， 可 


以 达到 的 。 不 过 ， 因 为 不 需要 密码 就 能 够 登入 ， 虽然 你 可 以 设 定 权限 
成 为 只 读 ， 让 使 


用 者 可 以 『 瞧 瞧 而 已 4 ， 但 是 毕竟 比较 危险 。 因为 如 于 你 不 小 心 将 重 
要 数据 放置 到 该 


分 享 的 目录 当中 ， 岂 不 危险 ? 所 以 尽量 不 要 这 样 设 定 ， 所 以 标题 才 会 
讲 : 


『 纯 测试 1 嘛 ! 
0D 
0. 假设 条 件 


net.giang@hotmail.com 
在 底下 的 案例 中 ， 服 务 器 (192.168.100.254) 预计 设 定 的 参数 状况 为 : 
0 在 LAN 内 所 有 的 网 入 主机 工作 组 (workgroup) 为 : vbirdhouse 

0 这 部 Samba 服务 器 的 NetBIOS 名 称 (netbios name) 为 : vbirdserver 
吕 使 用 者 认证 层级 设 定 (security) 为 : share 

D 取消 原本 有 放行 的 [homes] 目录 ; 

D 仅 分 享 /tmp 这 个 目录 而 已 ， 且 取 名 为 : temp 


0 Linux 服务 器 的 编码 格式 假设 为 万 国 码 (Unicode, 亦 妈 utf8) 
0 客户 端 为 中 文 Windows ， 在 客户 端的 软件 也 使 用 big5 的 编码 


老实 说 ， netbios name 几乎 可 以 不 用 设 定 了 ， 因 为 现在 我 们 都 用 了 进 
行 网 方 联 


机 ， 不 一 定 会 使 用 主机 名 嘛 ! 所 以 这 一 版 当中 ， 乌 哥 取 消 了 lmhosts 的 
设 定 值 咀 ! 好 


了 ， 底 下 就 开始 依 序 来 进行 samba 的 设 定 吧 ! 
吕 
1. 设 定 smb.conf 配置 文件 


由 于 我 们 有 设 定语 系 相关 的 数据 ， 因 此 得 要 先 查 查看 ， 到 故我 们 Linux 
服务 占 的 


语系 是 否 为 utf8 呢 ? 检查 方法 如 下 : 


[root@www ~]# cat /etc/sysconfig/il8n 
LANG="zh_TW.UTF-8" <== 人 确实 是 出 现 了 utf8 喔 ! 


如 上 所 示 ， 确 实 是 utf8 啊 ! 而 在 这 个 例子 当中 我 们 仅 分 享 /mp 这 个 目 
杂 而 已 ， 而 且 


假设 这 个 分 享 出 来 的 目录 是 可 擦 写 的 ， 男 外 ， 我 们 并 没有 分 享 打 印 机 
喔 ! 而 在 smb.conf 


当中 的 批注 符号 可 以 是 『#J 也 可 以 是 了 ;J 喔 ! 要 注意 ! 


[root@www ~]# cd /etc/samba 
[root@www sambal]# cp smb.conf smb.conf.raw <== 先 备份 再 说 ! 


[root@www sambal# vim smb.conf 


# 工 . 先 设 定 好 服务 硕 整 体 环境 方面 的 参数 
[globalj 
# 与 主机 名 有 天 的 设 定 信息 


workgroup = vbirdhouse 
netbios name = vbirdserver 


server string = This is vbird's samba server 


# 与 语系 方面 有 天 的 设 定 项 目 喔 ， 为 何如 此 设 定 请 参考 前 面 的 说 明 


unix charset = utf8 
display charset = utf8 
dos charset = cp950 
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# 与 登录 文件 有 关 的 设 定 项 目 ， 注 意 变 量 (%m) 


log file = /var/log/samba/log.%m 

max log Size = 50 

# 这 里 才 是 与 密码 有 关 的 设 定 项 目 哩 ! 
Security = Share 

# 修改 一 下 打印 机 的 加 载 方式 ， 不 要 加 载 啦 ! 
load printers 

= Do 


#2. 分 享 的 资源 设 定 方 面 ， 主 要 得 将 旧 的 批注 ， 新 的 加 入 ! 


# 先 取消 [homes], [printers] 的 项 目 ， 然 后 针对 /tmp 的 设 定 ， 可 浏 宽 
且 可 写 入 喔 

[temp] <== 分 享 资 源 名 称 

comment = Temporary file space <== 简 单 的 解释 此 资源 

path = /tmp <== 实 际 Linux 分 享 的 目录 

writable = yes <== 是 否 可 写 入 ? 在 此 例 为 

是 的 

browseable = yes <== 能 不 能 被 浏览 到 资源 名 称 

guest ok = yes <== 单 纯 分 享 时 ， 让 用 户 随 意 

登入 的 设 定 值 


请 你 特别 留意 ， 在 原本 的 smb.conf 上 面 就 已 经 有 很 多 默认 值 了 ， 这 些 
默认 值 如 来 你 不 


知道 他 的 用 途 ， 尽量 保留 默认 值 ， 也 可 以 使 用 man smb.conf 去 查询 该 
默认 值 的 意义 。 


上 壕 的 设 定 是 完全 控制 使 用 者 的 认证 技 级 的 哆 1! 
D 
2. 用 testparm 查阅 smb.conf 的 语法 设 定 正确 性 


在 启动 samba 之 前 ， 我 们 务必 要 了 解 到 smb.conf 里 面 语 法 是 否 正确 ， 
检验 的 方 


式 使 用 testparm 这 个 指令 即 可 。 测试 方式 如 下 : 


[root@www ~]# testparm 


-V: 查阅 完整 的 参数 设 定 ， 连 同 默 认 值 也 会 显示 出 来 喔 ! 
[root@www ~]# testparm 


Load smb config files from /etc/samba/smb.conf 


Processing section "[temp]" <== 看 有 几 个 中 括号 ， 知 中 刮 号 前 出 现 讯 


则 有 错误 
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Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions <== 按 Enter 继 


[global] <== 改 下 就是 刚刚 在 smb.conf 里 头 设 定 的 数据 ! 


dos charset = cp950 

unix charset = utf8 

display charset = utf8 

workgroup = VBIRDHOUSE 

netbios name = VBIRDSERVER 

server string = This is vbird's samba server 


security = SHARE 


log file = /var/log/samba/log.%m 
max log Size = 50 

load printers = No 

[temp] 

comment = Temporary file space 
path = /tmp 

read only = No 


guest ok = Yes 


上 上 头 古 语法 验证 与 各 个 项 目的 列 出 ， 如 采 你 下 达 testparm 却 出 现 如 下 
画面 那 束 是 有 问 


题 : 
[root@www ~]# testparm 
Load smb config files from /etc/samba/smb.conf 


Unknown parameter encountered: "linux charset" <== 中 括号 前 为 钳 误 讯 
自 | 


Ignoring unknown parameter "linux charset" 
Processing section "[temp]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 


Press enter to see a dump of your service definitions 


如 果 发 现 上 述 的 错误 ， 这 表示 你 的 smb.conf 有 个 『 linux charset 4 的 设 
定 参数 ， 


不 过 smb.conf 其 实 是 不 支持 这 个 参数 的 。 可 能 的 问题 是 samba 2.x 与 
samba 3.x 有 


一 些 项 目的 支持 已 经 不 存在 了 ， 所 以 你 使 用 旧版 的 2.x 配置 文件 来 3.x 
> 


束 会 出 现 问 题 。 此 外 ，『 打 了 错误 4 也 是 很 常见 的 一 个 问题 呐 ! 赶紧 
测试 一 下 语法 先 ， 


然后 根据 smb.conf 存在 的 项 目 去 进行 修改 吧 。 
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sd samba 的 所 有 设 定 (包括 没有 在 smb.conf 里 头 设 定 的 默 
认 值 )， 


可 以 使 用 testparm -v 来 作 详细 的 和 输出， 数据 相当 的 丰富 ， 透 过 这 个 你 
也 可 以 知道 你 


的 主机 环境 设 定 为 何 呢 ! 和信 
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3. 服务 右 端 的 服务 局 动 与 塌 口 观察 

局 动 实在 太 简 单 了 ， 利 用 预 设 的 CentOS 局 动 方式 来 处 理 即 可 。 


[root@www ~]# /etc/init.d/smb start <== 这 一 版 开始 要 局 动 两 个 daemon 


[root@www ~]# /etc/init.d/nmb start 
[root@www ~]# chkconfig smb on 
[root@www ~]# chkconfig nmb on 


[root@www ~]# netstat -tlunp | grep mbd 


Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 00 :::139 ;::* LISTEN 

1772/smbd 

tcp 0 0 :::445 :::* LISTEN 

1772/smbd 

udp 0 0 192.168.1.100:137 0.0.0.0:* 
1780/nmbd 

udp 0 0 192.168.100.254:137 0.0.0.0:* 
1780/nmbd 

udp 0 0 0.0.0.0:137 0.0.0.0:* 

1780/nmbd 

udp 0 0 192.168.1.100:138 0.0.0.0:* 
1780/nmbd 

udp 0 0 192.168.100.254:138 0.0.0.0:* 
1780/nmbd 

udp 0 0 0.0.0.0:138 0.0.0.0:* 


1780/nmbd 


特别 注意 ， 在 Samba 当中 预 设 会 局 动 多 个 端口 口 ， 这 包括 数据 传输 的 
TCP 端口 口 (139， 


445)， 以 及 进行 NetBIOS 名 称 解析 之 类 工作 的 UDP 塌 口 (137, 138)， 
所 以 你 才 会 看 


到 很 多 数据 的 。 那 么 能 否 仅 文 持 139 这 个 必要 的 塌 口 ， 关 闭 445 呢 ? 
可 以 啊 一 透 过 


testparm -Vv 的 观察 ， 可 以 发 现 『 smb ports = 445 139 J4 这 个 设 定 值 指 定 
两 个 埋 口 


的 ， 因 此 你 可 以 在 smb.conf 增加 这 个 设 定 值 ， 并 改 为 smb ports = 139 
即 可 。 不 过 ， 


建议 多 保留 默认 值 啦 ! 
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4. 假设 目 我 为 客户 端的 检 难 (默认 用 lo 接口 ) 


关于 客户 端的 观察 我 们 会 在 后 续 进 行 介绍 。 在 这 里 仅 是 说 明 如 何 确 定 
我 们 的 Samba 


设 定 与 服务 有 顺利 的 在 运作 。 我 们 可 以 在 本 机 上 透 过 smbclient 这 文 程 
序 来 处 理 ， 它 


的 基本 查询 语法 是 这 样 的 : 

[root@www ~]# smbclient -L [// 主 机 或 IP] [-U 使 用 者 账号 ] 
选项 与 参数 : 

-L: 仅 查 阅 后 面 接 的 主机 所 提供 分 享 的 目录 资源 ; 

-U : 以 后 面 接 的 这 个 账号 来 党 试 取得 该 主机 的 可 使 用 资源 


由 于 在 这 个 范例 当中 我 们 并 没有 规范 用 户 的 安全 等 级 (share)， 所 以 不 
必 使 用 -U 这 个 


选项 ， 因 此 你 可 以 这 样 看 看 : 
[root@www ~]# smbalient -L //127.0.0.1 


Enter root's password: <== 因 为 不 需要 密码 ， 因 此 这 里 单 击 [Enter] 吧 ! 


Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

temp Disk Temporary file space 

IPCS$ IPC IPC Service (This is vbird's samba 

server) 

Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Server Comment 

VBIRDSERVER This is vbird's samba server 

Workgroup Master 

VBIRDHOUSE VBIRDSERVER 


上 表 输 出 的 信息 当中 ， 分 享 的 目录 资源 (Sharename) 就是 在 smb.conf 当 
中 设 定 的 


[temp] 名 称 虽 ! 因此 在 这 里 的 意思 是 : 任何 人 都 可 以 进入 
//127.0.0.1/temp 这 个 目 


孙 当 中 ， 而 这 个 目录 在 Linux 系统 其 实 是 /tmp 目 永 。 至 于 那个 IPC$ 
则 是 为 了 要 应 


付 Windows 环境 所 必须 要 存在 的 项 目 就 是 了 。 那 么 该 如 何 使 用 这 个 次 
源 呢 ? 接 下 来 我 


们 可 以 利用 mount 这 个 指令 来 测试 看 看 哎 : 
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[root@www ~]# mount -t cifs //127.0.0.1/temp /mnt 
Password: <== 因 为 没有 密码 ， 所 以 这 里 还 是 按 Enter 即 可 
[root@www ~]# df 

Filesystem 1K-blocks Used Available Use% Mounted on 
.…( 前 面 省 略 ).…. 

//127.0.0.1/temp/ 1007896 53688 903008 6% /mnt 


[root@www ~]# cd /mnt 


I mnt]#] <== 以 上 这 两 个 动作 要 进行 ! 才 会 知道 有 没有 权限 
可 


题 ! 
[root@www mnt]# touch zzz 
[root@www mnt]# ll zzz /tmp/zzz 


-rTW-r--r--. 1 nobody nobody 0 Jul 29 13:08 /tmp/zzz 


-TW-T--T--. 1 nobody nobody 0 Jul 29 13:08 zzz 
# 注意 喔 ! 你 进入 /mnt 身份 会 被 压缩 成 为 nobody 呢 ! 不 再 是 root 啊 ! 
[root@www mntl]# cd ; umount /mnt 


确实 可 以 挂 载 的 起 来 ， 所 以 ， 测 试 完毕 后 ， 就 将 这 个 挂 载 的 资料 季 除 
吧 。 关 于 mount 的 


用 法 ， 我 们 会 在 后 面 的 小 世 继 续 介绍 。 


基本 上 ， 到 此 为 止 咱们 就 设 定好 一 个 简单 的 不 需要 密码 即 可 登入 的 
Samba 服务 右 


本 
下 来 ， 让 我 们 以 


简易 的 需要 密码 才能 够 登入 Samba 的 方式 来 设计 一 个 范例 吧 ! 
16.2.4 需 账号 密码 才 可 登入 的 分 享 (security = user) 


设 定 一 部 不 需 密码 即 可 登入 的 Samba server 是 非常 简单 的 ， 不 过 ， 你 
总 不 希望 


某 些 有 机 密 性 质 的 资料 放 在 不 设防 的 网 芳 中 让 大 家 查阅 吧 ? 举例 来 
说 ， 你 忌 不 希望 你 


的 家 目录 被 人 家 随意 浏览 吧 ? 家 目录 内 可 能 有 你 自己 的 情书 呢 ! 和 人 人 


那 坚 么 办 ? 没关系 ， 我 们 可 以 透 过 Samba 服务 紫 提 供 的 认证 方式 来 进 
傈 用 户 信 为 


的 给 予 ， 也 融 是 讽 ， 你 在 客户 只 联 机 到 服务 右 时 ， 必 须要 输入 正确 的 
账号 与 密码 后 ， 


才能 够 登入 Samba 查阅 到 你 自己 的 数据 ! 那 会 不 会 很 难 啊 ? 不 会 啦 ! 
Samba 本 身 整 


提供 一 个 小 程序 来 帮助 我 们 处 理 密码 的 建立 了 ， 整 个 流程 还 不 太 难 。 


比较 重要 的 是 Samba 使 用 者 账号 必须 要 存在 于 Linux 系统 当中 
(/etc/passwd), 


但 是 Samba 的 密码 与 Unix 的 密码 档案 并 不 相同 (这 是 因为 Linux 与 网 
方 的 密码 验 
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证 方式 及 编码 格式 不 同 所 致 )。 这 束 比 较 有 点 小 麻烦 ~~ 没 关系 ， 束 让 我 
们 依 样 画 戎 卢 来 


处 理 一 下 这 个 部 分 的 设 定 吧 ! 
0D 
0. 假设 条 件 


由 于 使 用 者 层级 会 改变 成 user 的 阶段 ， 因 此 [temp] 已 经 没有 必要 存 
在 ! 请 将 该 


设 定 删除 或 批注 。 而 服务 句 方 面 的 整体 数据 则 请 保留 ， 包 括 工作 组 等 
等 的 数据 ， 并 新 


增 底下 的 资料 : 

0 使 用 者 认证 层级 设 定 (security) 为 : user 

0 用 户 密码 档案 使 用 TDB 数据 库 格 式 ， 默 认 档案 在 
/var/lib/samba/private/ 内 ; 

0 密码 必须 要 加 密 ; 

吕 每 个 可 使 用 samba 的 使 用 者 均 拥有 自己 的 家 目录 ; 


0D 设 定 三 个 用 户 ， 名 称 为 smb1, smb2, smb3 ， 且 均 加 入 users 为 次 要 群 
组 。 


此 三 个 用 户 Linux 密码 为 1234， Samba 密码 则 为 4321; 


D 分 享 /home/project 这 个 目录 ， 且 资源 名 称 取 名 为 : project; 

0 加 入 users 这 个 群 组 的 使 用 者 可 以 使 用 WIP/project 资源 ， 且 在 该 目录 
下 users 这 个 群 组 的 使 用 者 具有 写 入 的 权限 。 

好 了 ， 开 始 一 步 步 的 处 理 吧 ! 

1. 设 定 smb.conf 配置 文件 与 目录 权限 相关 之 设 定 


在 这 个 范例 的 配置 文件 当中 ， 我 们 会 新 增 几 个 参数 ， 新 增 的 参数 部 分 
会 用 特殊 字体 


圈 起 来 ， 引用 之 前 参数 的 部 分 则 为 一 般 字 体 。 请 交互 参考 看 看 吗 : 
#1. 开始 设 定 重要 的 smb.conf 档案 哟 ! 


[root@www ~]# vim /etc/samba/smb.conf 
[globalj 

workgroup = vbirdhouse 

netbios name = vbirdserver 

server string = This is vbird's samba server 
unix charset = utf8 

display charset = utf8 

dos charset = cp950 


log file = /var/log/samba/log.%m 


max log Size = 50 

net.giang@hotmail.com 

load printers 

= no 

# 与 密码 有 天 的 设 定 项 目 ， 包 括 密码 档案 所 在 格式 喔 ! 

security = user <== 这 行 就 是 重点 啦 ! 改 成 user 层级 

passdb backend = tdbsam <== 使 用 的 是 TDB 数据 库 格 式 ! 
. 分享 的 资源 设 定 方面 :删除 temp 加 入 homes 与 project 

[homes] <== 分 享 的 资源 名 称 

comment = Home Directories 

browseable = no <== 除 了 使 用 者 目 己 外 ， 不 可 

被 其 他 人 浏览 

writable = yes <== 挂 载 后 可 控 写 此 分 享 


create mode = 0664 <== 建 立 档案 的 权限 为 664 


directory mode = 0775 <== 建 立 目 录 的 权限 为 775 
[project] <== 束 是 那 三 位 使 用 者 的 共享 


comment = smbuser's project 
path = /home/project <== 实 际 的 Linux 上 面 的 目 
录 位 置 


browseable = yes <== 可 被 其 他 人 所 浏 贤 到 资源 

名 称 ( 非 内 容 ) 

writable = yes <== 可 以 被 写 入 

write list = @users <== 写 入 者 有 哪些 人 的 意思 

# 2. 每 次 改 完 smb.conf 你 都 需要 重新 检查 一 下 语法 正确 否 ! 
[root@www ~]# testparm <== 详 细 的 debug 请 自行 处 理 嚼 ， 
在 上 表 当 中 比较 有 趣 的 设 定 项 目 主要 有 : 


D [global] 修改 与 新 增 的 部 分 : security 设 定 为 user 层级 ， 且 使 用 
Fpassdb 


backend = tdbsamJ 这 个 数据 库 格 式 ， 因 此 密码 文件 会 放置 于 
/Var/lib/samba/private/ 内 。 此 外 ， 默 认 密 码 就 是 加 密 的 ， 因 此 不 需要 额 
外 


使 用 其 他 的 设 定 参 数 来 规范 ; 


0 [homes] 这 个 使 用 者 资源 共享 部 分 : homes 是 最 特殊 的 资源 共享 名 
称 ， 


为 Linux 上 面 的 每 位 用 户 均 有 家 目录 ， 例如 smb1 的 家 目录 位 于 
/home/smb1/, 


那 当 smb1 用 户 使 用 samba 时 ， 她 就 会 发 现 多 了 个 //127.0.0.1/smb1/ 的 
资源 


可 用 ， 而 smb2 就 在 //127.0.0.1/smb2/ 这 个 资源 。 由 于 不 可 浏览 


(browseable)， 所 以 除了 使 用 者 可 以 看 到 目 己 的 家 目录 资源 外 ， 其 他 人 
是 无 法 浏 


硕 的 。 此 外 ， 为 了 规范 权限 ， 而 多 了 create mode 与 directory mode 两 
个 设 


定 值 (此 值 可 设 定 也 可 不 理会 ); 
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0 [project] 这 个 使 用 者 资源 共享 部 分 : 当 我 们 新 增 一 个 共享 资源 时 ， 最 
重 


要 的 束 古 规范 资源 名 称 。 在 此 例 中 我 们 使 用 project 这 个 闹 源 名 称 来 指 
问 


/home/project ， 也 就 是 说 ，//127.0.0.1/project 代表 的 是 home/project 


的 意思 。 此 外 ， 能 够 使 用 这 个 资源 的 账号 ， 为 加 入 users 这 个 群 组 的 用 
妆 谋 到 


过 write list 这 个 项 目 比 较 单 纯 ， 如 果 是 早期 的 设 定 ， 可 能 会 使 用 valid 


users ， 但 近来 乌 哥 比较 偏好 write list 设 定 项 目 。 不 过 能 否 顺利 的 存 取 
档 


案 还 与 Linux 最 诬 层 的 档案 权限 有 关 。 


千 万 不 要 起 记 了 ， 除 了 配置 文件 之 外 ， 详 细 的 目录 权限 与 账号 设 定 等 
规范 也 要 设 定 


好 ! 确 下 我 们 用 范例 来 进行 此 项 工作 ! 
例题 : 
我 们 预计 要 分 享 home/project 日 录 ， 这 个 目录 的 权限 该 如 何 设 定 ? 


因为 是 要 开放 给 users 群 组 ， 而 共享 群 组 的 权限 通常 是 『 2770 4 这 个 
省 有 


SGID 的 特殊 旗 标 功能 。 因 此 这 个 目录 应 该 如 此 设 定 才 好 : 
[root@www ~]# mkdir home/project 

[root@www ~]# chgrp users home/project 

[root@www ~]# chmod 2770 ome/project 

[root@www ~]# 1 -d /home/project 

drwxrws---. 2 root users 4096 Jul 29 13:17 /home/project 

0 

2. 设 定 可 使 用 Samba 的 用 户 账号 与 密码 


设 定 使 用 着 账 喜 是 很 重要 的 一 环 ， 因 为 设 定 错误 的 话 ， 当 然 也 残 任何 
人 都 没有 办 法 


登入 的 ! 在 这 里 我 们 必须 和 完 要 说 明 一 下 Linux 的 文件 系统 与 SAMBA 
设 定 的 使 用 着 登入 


权限 的 相关 性 ! 
0D 在 Linux 这 个 系统 下 ， 任 何 程序 都 需要 取得 UID 与 GID (User ID 与 


Group ID) 的 身份 之 后 ， 才 能 够 拥有 该 身份 的 权限 ， 也 才能 够 适当 的 进 
行 存 取 档 


案 等 动作 ! 
0 关于 Linux 这 个 系统 的 UID 与 GID 与 账号 的 相对 关系 ， 一 般 记录 在 


/etc/passwd 当中 ， 当 然 也 能 透 过 NIS, ldap 等 方式 来 取 对 应 ; 


DD SAMBA 仅 只 是 Linux 发 下 的 一 套 软件 ， 使 用 SAMBA 来 进行 Linux 
文件 系 


统 时 ， 还 是 需要 以 Linux 系统 下 的 UID 与 GID 为 准则 ! 


如 果 上 面 这 几 点 说 明 你 没有 问题 了 ， 现 在 就 来 看 一 下 当 我 们 在 
Windows 计算 机 上 


面 以 网 络 上 的 廊 邻 来 连接 Linux 并 且 进 行 数 据 的 存 取 时 ， 会 是 怎样 的 
人 傅 仙 央 ? 
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我 们 需要 透 过 SAMBA 所 提供 的 功能 来 进行 Linux 的 存 取 ， 而 Linux 的 
存 取 是 需 


要 取得 Linux 系统 上 面 的 UID 与 GID 的 ， 因 此 ， 我 们 登入 SAMBA 服 
务 器 时 ， 所 利用 


SAMBA 取得 的 其 实 是 Linux 系统 里 面 的 相关 账号 ! 这 也 就 是 说 ， 在 
SAMBA 上 面 的 使 用 


者 账号 ， 必 须要 是 Linux 账号 中 的 一 个 ! 


所 以 说 ， 在 不 考虑 NIS 或 LDAP 等 其 他 账号 的 验证 方式 ， 单 纯 以 Linux 
本 机 账号 


(/etc/passwd) 作为 号 份 验证 时 ， 在 Samba 服务 器 所 提供 可 登入 的 账号 
名 称 ， 必 须要 


存在 于 /etc/passwd 当中 1! 这 是 一 个 很 重要 的 概念 ! 例如 你 要 先 有 
dmtsai 在 


/etc/passwd 当中 后 ， 才 能 将 dmtsai 加 入 Samba 的 使 用 者 当中 。 这 都 是 
很 基本 的 账 


号 权限 概念 ， 如 果 你 觉得 这 里 阅读 方面 有 问题 ， 帮 不 考虑 乌 哥 的 解释 
不 民 ， 表 示 你 必 


须要 回去 读 读 基础 篇 了 一 人 和 
现在 我 们 知道 需要 新 增 smb1, smb2, smb3 三 个 用 户 ， 且 这 三 个 用 户 需 
1 入 


users 群 组 。 此 外 ， 我 们 之 前 还 建立 过 student 这 个 用 户 ， 假 设 这 四 个 人 
都 需要 能 


Samba 服务 ， 那 么 除了 新 增 用 户 之 外 ， 我 们 还 需要 利用 pdbedit 这 个 指 
令 来 处 理 Samba 


用 户 功能 喔 ! 
#1. 先 来 建立 所 需要 的 各 个 账号 ， 但 假设 student 已 经 存在 了 喔 ! 


[root@www ~]# useradd -G users smb1 

[root@www ~]# useradd -G users smb2 

[root@www ~]# useradd -G users smb3 

[root@www ~]# echo 1234 | passwd --stdin smb1 

[root@www ~]# echo 1234 | passwd --stdin smb2 

[root@www ~]# echo 1234 | passwd --stdin smb3 

# 2. 使 用 pdbedit 指令 功能 

[root@www ~]# pdbedit -L [-vw] <== 单 纯 的 察看 帐户 信息 
[root@www ~]# pdbedit -al-rl-x -u 账号 <== 新 增 /修改 /删除 账号 
[root@www ~]# pdbedit -a -m -u 机 器 账号 <== 与 PDC 有 天 的 机 屁 码 
选项 与 参数 : 

-L : 列 出 目前 在 数据 库 当 中 的 账号 与 UID 等 相关 信息 ; 

-Vv : 需要 搭配 -L 来 执行 ， 可 列 出 更 多 的 讯息 ， 包 括 家 目录 等 数据 ，; 
-w: 需要 搭配 -L 来 执行 ， 使 用 旧版 的 smbpasswd 格式 来 显示 数据 ; 


-a : 新 增 一 个 可 使 用 Samba 的 账号 ， 后 面 的 账号 需要 在 /etc/passwd 内 
和 


在 着 ; 


-r: 修改 一 个 账号 的 相关 信息 ， 需 搭配 很 多 特殊 参数 ， 请 man 
pdbedit; 


-x : 删除 一 个 可 使 用 Samba 的 账号 ， 可 先 用 -L 找到 账号 后 再 删除 ; 


-m : 后 面授 的 是 机 需 的 代码 (machine account)， 与 domain model 有 
关 ! 


#2.1 开始 新 增 使 用 者 吧 ! 

[root@www ~]# pdbedit -a -u smb1 

new password: <== 输 入 4321 这 个 密码 瞧 瞧 

retype new password: <== 再 输入 一 次 吧 ! 

Unix username: smb1 <== 底 下 为 输入 正确 后 的 显示 结 采 ! 
net.giang@hotmail.com 

NT username: 

Account Flags: [U | 

User SID: S-1-5-21-4073076488-3046109240-798551845-1000 
Primary Group SID: S-1-5-21-4073076488-3046109240-798551845-513 
Full Name: 

Home Directory: \\vbirdserver\smb1 


HomeDir Drive: 


Logon Script: 

Profile Path: \vbirdserver\smb1\profile 

Domain: VBIRDSERVER 

Account desc: 

Workstations: 

Munged dial: 

Logon time: 0 

Logoff time: 9223372036854775807 seconds since the Epoch 
Kickoff time: 9223372036854775807 seconds since the Epoch 
Password last set: Fri, 29 Jul 2011 13:19:56 CST 

Password can change: Fri, 29 Jul 2011 13:19:56 CST 
Password must change: never 

Last bad password : 0 

Bad password count : 0 

Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 


# 你 可 以 发 现 其 实 讯 恳 非常 的 多 ! 者 需 修 改 细部 设 定 ， 请 man pdbedit 
吧 ! 


[root@www ~]# pdbedit -a -u smb2 
[root@www ~]# pdbedit -a -u smb3 


[root@www ~]# pdbedit -a -u student 


# 2.2 查询 目前 已 经 存在 的 Samba 账号 

[root@www ~]#pdbedit -L 

smb1:2004: 

smb3:2006: 

smb2:2005: 

student:505: 

# 仪 会 列 出 账号 与 UID 而 已 哆 | 

# 2.3 笑 试 修改 与 删除 smb3 这 个 账号 看 看 

[root@www ~]# Smbpasswd Smb3 

New SMB password: 

Retype new SMB password: 

# 修改 密码 比较 特殊 ， 管 理 密码 参数 是 使 用 pdbedit， 修 改 密码 得 要 用 
smbpasswd 哟 ! 

[root@www ~]#pdbedit -x -u smb3 

net.giang@hotmail.com 

[root@www ~]# pdbedit -Lw 

# 此 时 你 就 看 不 到 smb3 这 个 用 户 虽 ! 所 以 测试 完 请 立即 将 它 加 回来 ! 


以 后 如 果 有 需要 新 增 额 外 的 使 用 者 账号 ， 若 该 账号 原本 不 存在 ， 则 使 
用 useradd 再 以 


pdbedit -a 去 新 增 。 若 已 经 存在 于 Linux 的 实体 账号 ， 直 接 用 pdbedit -a 
新 增 即 


可 。 同 时 要 注意 ， 管 理 TDB 数据 库 格 式 建议 使 用 pdbedit 这 个 新 的 玩 
意 儿 来 处 理 ， 


smbpasswd 仅 镜 下 修改 密码 的 功能 需 记 忆 即 可 1! 
3. 重新 启动 Samba 并 进行 自我 测试 


在 经 过 重新 局 动 后 ， 我 们 所 进行 的 修订 才 会 生效 。 然 后 使 用 smbclient 
来 检查 看 


看 ， 是 否 不 同 映 份 会 有 不 一 样 的 浏览 结果 呢 ? 赶紧 看 看 : 


[root@www ~]# /etc/init.d/smb restart 

[root@www ~]# /etc/init.d/nmb restart 

#1. 先 用 匿名 登录 试看 看 ! 

[root@www ~]# smbalient -L //127.0.0.1 

Enter root's password: <== 和 直接 按 下 [Enter] 即 可 。 


Anonymous login successful <== 有 看 到 匿名 的 字样 了 ! 


Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

project Disk smbuser's project 

IPCS$ IPC IPC Service (This is vbird's samba 


server) 


…( 压 下 省 略 )..… 


# 2. 再 使 用 smbl 这 个 账号 登入 试看 看 ! 

[root@www ~]# smbalient -L //127.0.0.1 -U smb1 

Enter smbl's password: <== 输 入 smb1 在 pdbedit 所 建立 的 密码 ! 
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

project Disk smbuser's project 

IPCS$ IPC IPC Service (This is vbird's samba 

server) 

smb1 Disk Home Directories <== 多 了 这 玩意 儿 ! 
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…( 压 下 省 略 )..… 


由 上 表 我 们 可 以 发 现 ， 经 由 不 同 的 映 份 登入 可 以 取得 不 一 样 的 浏览 妆 
据 ， 所 以 在 使 用 


上 面 需要 特别 留意 喔 ! 接 下 来 ， 让 我 们 开始 来 自我 挂 载 测试 看 看 ! 


[root@www ~]# mount -t cifs //127.0.0.1/smbl1 /mnt -o username=smb1 


Password: <== 人 确定 是 输入 正确 的 密码 喔 ! 


# 此 时 /home/smb1/ 与 /mnt 应 该 拥有 相同 的 档 名 才 对 ! 因为 挂 载 嘛 ! 
[root@www ~]# 1 /home/smb1/.bashrc 

-IrW-r--I--. 1 smbl smb1 124 May 30 23:46 /home/smb1/.bashrc <== 人 确定 
有 档案 

[root@www ~]# ls -a /mnt 


# 却 看 不 到 任何 东西 ! 应 该 是 SELinux 的 问题 吧 ! 根据 


/var/log/messages 
的 讯 已， 
# 进行 如 下 的 动作 就 能 够 处 理 好 这 个 程序 ! 


[root@www ~]# setsebool -P samba_enable_home dirs=1 
[root@www ~]# ls -a /mnt 

... .bash_logout .bash_profile .bashrc .gnome2 .mozilla 

# 档 名 出 现 啦 ! OKOK! 这 个 使 用 者 挂 载 处 理 完毕 ! 
[root@www ~]# umount /mnt 


自我 测试 是 非常 重要 的 ! 因为 Samba 是 会 对 外 提供 服务 的 ， 因 此 
SELinux 会 特别 『 关 


照 4 一 下 这 个 服务 ! 包括 默认 用 户 家 目录 不 会 有 开放 的 权限 、 预 设 的 
SELinux type 个 


对 就 无 法 使 用 (你 可 以 自己 党 试 挂 载 /127.0.0.1/project 就 知道 啥 原 
史 ! )， 所 以 ， 


自行 测试 完毕 就 能 够 理解 哪个 地 方 的 SELinux 没有 设 定 妥当 ! 详细 的 
设 定 请 到 16.2.6 


安全 性 设 定 去 查阅 。 

Tips: 

根据 网 友 回 报 ， 因 为 之 前 我 们 设 定 的 security 是 share， 而 且 已 
经 使 用 Windows 系统 测试 过 ， 在 同一 部 Windows 系统 上 面 重复 测 
试 时 ， 会 发 生 无 法 登入 的 情况 。 建 议 直接 将 windows 系统 重新 启动 
清除 前 一 次 登入 的 信息 即 可 ! 人 和信 

0 

4. 关于 权限 的 再 说 明 与 累加 其 他 分 享 资源 的 方式 : 
net.qiang@hotmail.com 

oO 


有 的 时 候 你 会 发 现 ， 明 明 在 smb.conf 当中 已 经 设 定 了 writable 可 写 
入 ， 使 用 者 


登入 的 映 份 也 没有 问题 ， 为 蛤 就 古 无 法 挂 载 或 写 入 呢 ? 是 否 是 服务 内 
设 定 哪里 还 有 问 


人 非 也 非 也 ! 主要 的 问题 单 币 是 来 目 于 Linux 文件 系统 的 权限 
六 


举 上 上 面 的 例子 来 谨 ， 当 你 无 法 挂 载 却 发 现 Linux 传统 权限 是 对 的 ， 那 


么 肯定 是 


SELinux 出 问题 一 这 部 份 得 要 用 setsebool 与 chcon 或 restorecon 等 指令 


来 元 服 。 
另外 丈 是 ， 我 们 在 smb.conf 当中 设 定 [project] 为 可 写 入 ， 亦 即 


/home/project 是 


可 写 入 的 。 假 设 smbl 属于 users 这 个 群 组 ， 因 此 以 smb1 登入 SAMBA 
服务 絮 后 ， 对 


于 /home/project 应 该 是 具有 可 以 读 写 的 能 力 的 ! 但 是 ， 如 果 你 以 root 
的 身份 建立 


/home/project 却 又 乐 记 修改 权限 的 话 ， 此 时 /home/project 是 无 法 让 
users 这 个 


群 组 写 入 的 ， 因 此 smb1 这 个 使 用 者 当然 不 具有 写 入 的 能 力 。 这 样 
说 ， 了 解 乌 哥 想 要 


说 哈 了 吗 ? 注意 注意 喔 ! 人 人 
那 如 果 你 还 要 扩充 分 享 的 目录 与 能 够 登入 的 使 用 者 时 ， 可 以 这 样 做 


0 利用 编辑 smb.conf 来 开放 其 他 的 目录 资源， 并 且 特 别 注 意 Linux 在 
该 目 


和 孙 下 的 权限 喔 ! 请 使 用 chown 与 chmod 吧 ! 
0 利用 pdbedit 来 新 增 其 他 可 用 Samba 的 账号 ， 如 果 该 账号 并 没有 出 现 
在 


/etc/passwd 里 面 ， 请 先 以 useradd 新 增 该 账号 
0 不论 进行 完 任 何 的 设 定 ， 请 先 以 testparm 进行 确认 ， 之 后 以 
/etc/init.d/{smb,nmb} restart 来 重新 启动 ! 


事实 上 ，SAMBA 的 一 般 用 途 就 是 在 这 个 联机 的 模式 中 ! 多 使 用 
SAMBA 来 分 享 你 的 


资源 吧 ! 乌 哥 都 是 使 用 SAMBA 来 做 为 远程 服务 器 与 我 的 工作 机 互通 
有 无 的 重要 媒介 


说 ~ 


16.2.5 设 定 成 为 打印 机 服务 絮 (CUPS 系统 


时 至 今日 ， 打 印 机 的 网 络 功能 已 经 很 强悍 了 ! 甚至 也 有 支持 无 线 网 络 
的 打印 机 ， 因 


此 每 台 打印 机 都 可 以 独立 作为 各 个 PC 的 独自 的 打印 机 ， 老 实说 也 没有 
必要 进行 Samba 


的 网 络 打 印 机 服务 器 啦 ! 但 毕竟 还 是 有 些 比较 旧型 的 机 种 ， 或 者 买 不 
起 有 内 建 网 络 的 


打印 机 时 ， 那 么 Samba 的 打印 机 服务 右 还 是 有 存在 的 价值 哎 。 


在 Linux 说 下 进行 打印 的 服务 很 多 ， 不 过 我 们 这 里 要 介绍 的 仅 有 目前 
较 广 为 流行 


的 CUPS (Common Unix Printing System) 这 一 个 。 详细 的 CUPS 安装 设 
定 方法 我 们 


已 经 在 基础 篇 第 三 版 第 二 十 一 音 CUPS 当中 提 过 ， 所 以 这 里 我 们 不 再 
详细 说 明 ， 仅 介绍 


大 致 的 处 理 流 程 苞 是 了 。 如 采 你 需要 较 早 期 的 LPRng 打印 系统 的 话 ， 
建议 可 以 参考 反 


下 的 质料 喔 : 
0 依 王 猎 的 打印 文件 :_http:/www.imacat.idv.tw/tech/Inxprint.html 


0 鸟 哥 的 LPRng 简介 : 


net.giang@hotmail.com 


Tips: 

在 这 个 小 节 中 ， 鸟 哥 假设 你 的 打印 机 并 不 是 网 络 打印 机 ， 而 是 使 用 
USB 接口 连接 的 打印 机 格式 。 如 果 你 的 打印 机 真 的 有 支持 网 络 ， 那 
建议 直接 参考 打印 机 手册 来 设 定 即 可 ， 不 需要 安装 Samba 打印 机 。 
因为 某 些 三 牌 的 打印 机 网 络 卡 有 特殊 的 功能 ， 例 如 HP 的 网 卡通 党 
还 文 持 某 些 特 殊 的 打印 功能 ( 双 面 、 多 页 打印 等 )， 这 些 功能 透 过 作 
服 器 重新 分 享 时 ， 可 能 会 遗失 ! 

0. 假设 条 件 


2 
局 日 ] HP 


< 


LaserJet P2015dn 这 部 打印 机 为 例 ， 不 使 用 网 络 功能 ， 单 纯 使 用 USB 
连接 到 Samba 


服务 器 上 。 


0 CUPS 连接 到 USB 打印 机 ， 并 且 开 放 非 本 机 的 IP 来 源 使 用 此 打印 
机 ; 


0 使 用 CUPS 内 建 的 打印 机 驱动 程序 ; 
0 前 往 HP 打印 机 官网 取得 Windows 操作 系统 的 驱动 程序 ; 


0 
1. 安 半 打印 机 与 确定 打印 机 的 联机 正 第 


再 次 说 明 ， 并 不 是 所 有 的 打印 机 都 被 Linux 所 支持 的 ， 所 以 当 你 想 要 
链接 一 部 打 


印 机 到 Linux 系统 上 头 时 ， 请 务必 到 


http://www.openprinting.org/printers 上 头 


去 看 看 是否 有 被 文 持 喔 ! 如 琳 没 有 人 被 文 持 ， 那 环 换 一 部 打印 机 吧 ! 不 
要 进行 垂死 的 择 


ee 


如 条 你 的 打印 机 病 口 为 使 用 USB 或 者 是 平行 单行 端口 的 话 ， 那 么 当 你 
连接 上 打印 


机 后 ， 可 以 利用 底下 的 方式 测试 看 看 是 否 成 功 的 连接 上 了 : 


[root@www ~]# lsusb 

Bus 001 Device 002: ID 03f0:3817 Hewlett-Packard LaserJet P2015 series 
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub 
[root@www ~]# 1 /dev/usb/lp0 

CrW-rw----. 1 root lp 180, 0 Jul 29 13:55 /dev/usb/lp0 

# 看 得 出 来 ， 已 经 有 个 jp0 的 打印 机 哆 ! 测试 打印 一 下 吧 ! 
[root@www ~]# echo "Hello printer" > /dev/usb/lp0 


如 果 打 印 机 有 响应， 这 表示 OK 的 啦 ! 你 可 以 进行 床下 的 工作 了 。 


net.giang@hotmail.com 


0 


2. 设 定 CUPS 与 打印 机 的 联机 


预 设 CUPS 都 会 开启， 不 过 ， 因 为 我 们 安装 的 是 『basic server J 的 模 
式 ， 所 以 


CUPS 默认 并 没有 被 安装 起 来 。 所 以 这 里 要 安装 且 重 新 设 定 与 启动 才 
行 。 本 章节 CUPS 


的 设 定 原则 是 这 样 的 : 

0 我 需要 让 192.168.100.0/24 这 个 网 域 可 以 使 用 打印 机 

0 我 需要 让 192.168.100.0/24 及 127.0.0.0/8 可 以 管理 CUPS 系统 
然后 开始 这 样 做 : 

[root@www ~]# yum groupinstall "Print Server" 

[root@www ~]#vim /etc/cups/cupsd.conf 

#1. 让 监听 的 接口 开放 在 所 有 接口 ! 

# Listen localhost:631 <== 约 在 第 18 行 左右 ， 改 成 如 下 : 

Listen 0.0.0.0:631 

# 2. 让 内 部 网 域 能 够 进行 CUPS 的 浏览 与 管控 

<Location /> <== 约 在 32 行 左 右 ， 新 增 能 够 让 内 网 其 他 IP 浏览 

Order allow,deny 

Allow From 127.0.0.0/8 

Allow From 192.168.100.0/24 


</Location> 


<Location /admin> <== 约 在 39 行 左 右 ， 新 增 能 够 管理 CUPS 者 


Encryption Required <== 因 为 这 里 的 关系 ， 所 以 可 能 会 用 https:/IP 
喔 ! 

Order allow,deny 

Allow From 127.0.0.0/8 

Allow From 192.168.100.0/24 

</Location> 

设 定 完毕 后 就 可 以 开始 来 启动 cups 系统 ， 可 以 这 样 做 : 
[root@www ~]# /etc/init.d/cups start 

[root@www ~]# chkcontfig cups on 

[root@www ~]# netstat -tunlp | grep "cups' 

tcp 0 0 0.0.0.0:631 0.0.0.0:* LISTEN 

1851/cupsd 

udp 0 0 0.0.0.0:631 0.0.0.0:* 


net.giang@hotmail.com 


不 受 售 任 的 过 入 - Mozilla Firefox 


禄 案 国 ”编辑 检视 (四 历史 思 书 狂 加 工具 站 族 明 对 
| rr 
您 要 求 Fuefox 和 192.168.1.100:631 建立 安全 过 狠 ' 但 是 我 们 把 法 压 嫌 目前 的 违 特 是 安 主 的 - 


一 般 来 怠 ， 当 您 过 立 实 主 违 多 时 ， 独 站 会 提供 身分 汶 别 以 给 明 您 过 到 了 正确 的 地 方 * 但 此 涤 站 
的 身分 搬 法 被 崇 靶 。 


我 鼓 怎 度 办 ? 
若 您 平常 不 窜 过 于 半 个 问题 ， 此 猴 强 雇 息 代表 有 人 正 试 著 假 时 该 移 站 :， 侯 不 该 六 清 浏 贤 > 
带 我 训 开 这 里 ! 2 
技术 和 季 


7 我 了 解 此 安全 风 除 


如 果 您 知道 品 何 错 纺 ， 您 可 以 这 Firefox 改 信 任 此 身分 澡 别 襄 讯 * 即便 您 信任 此 揣 站 ， 此 知 涡 
依然 代表 有 人 正 武 著 息 则 访 揣 站 。 


除非 您 有 理由 夏 定 此 桐 站 身分 诉 别 次 讯 没 有 问题 ， 否则 切 勿 新 增 例外 独 站 。 


新 增 交 外 网 站 … | < 一 一 一 3 


1851/cupsd 


那个 631 的 埋 口 就 是 CUPS 所 局 动 的 啦 ! 要 注意 的 是 ， 开 放 界 面 得 要 
给 0.0.0.0 才 对 


吻 ! 然后 我 们 可 以 开始 设 定 打印 机 了 ! 由 于 CUPS 文 持 很 多 不 同 的 打 
印 机 端口 ， 每 种 


端口 都 不 一 样 ， 常 见 的 有 : 

0D USB 端口 : usb:/dev/usb/lp0 

0 网 络 打 印 机 : ”ipp://ip/ 打 印 机 型 号 

0 网 络 芳 邻 打印 机 : smb://user:password@host/printer 


之 所 以 要 加 上 192.168.100.0/24 可 以 控制 服务 器 CUPS 的 原因 在 于 ... 乌 
可 的 服 


务 器 没有 X 窗口 啦 ! 所 以 需要 透 过 平时 的 工作 机 连 上 服务 器 才 行 啊 ! 
此 时 ,将 CUPS 开 


放 在 区 网 内 可 以 控制 的 功能 束 很 重要 啦 ! 此 外 ， 因 为 马 哥 的 主机 所 在 


环境 问题 ， 这 部 


192.168.100.254 还 有 一 个 界面 为 192.168.1.100， 乌 哥 在 cupsd.conf 里 面 
也 加 入 这 

个 网 段 了 (上面 的 范例 中 并 没有 特别 强调 )， 所 以 底下 的 图 示 你 会 看 到 
很 多 


192.168.1.100 的 卫 ， 不 要 害怕 ! 那 是 正常 的 ! 和 人! 好 了 ， 请 打开 浏 


贤 絮 ， 在 网 址 


列 输入 :”https://192.168.100.254:631 (底下 则 是 192.168.1.100) 


图 16.2-1、 用 CUPS 设 定 USB 打印 机 


如 上 图 所 示 ， 由 于 我 们 使 用 的 是 https 这 个 需要 凭证 的 联机 模式 ， 因 此 
束 会 出 现 


这 个 不 受信 任 的 网 站 讯息 。 没 关系 ， 你 直接 按 下 『 我 了 解 安 全 风险 J 
后 ， 再 选择 『 新 


增 例 外 网 站 J 即 可 出 现 如 下 图 示 : 


net.giang@hotmail.com 


新 增 安 全 例外 | 


您 正 试图 哥 匡 Firefox 要 如 何 识别 此 移 站 的 训 定 * 


f/f 站 


、 第 注 意 : 合法 的 银行 、 商 店 或 其 他 公 辕 薪 站 不 会 要求 您 运 座 做 ! 


伺服 器 
位 址 : 


st192.1683.1.100:631; 


取得 汤 证 心 ) 


天 证 状态 
此 负 站 党 试用 瓜 获 的 资讯 识别 自己 * 


敌 如 的 拉 站 
遥 改 届 论 不 同 的 料 站 : 该 袜 站 的 身分 可 能 已 被 次 用 * 1 
未 知 身分 


源 座 未 受信 任 ， 因 帝 尚 未 被 认得 的 下 证 楼 懂 验 座 


2 


lv 永久 仍 存 此 例外 四 


确认 安全 例外 (C) | 


取消 


图 16.2-2、 用 CUPS 设 定 USB 打印 机 


如 采 这 部 主机 真 的 是 你 的 ， 那 么 束 选 择 箭头 2 所 指 的 那个 『 永 久 储 


存 4 吧 ! 最 后 

按 下 箭头 3 所 指 的 『 确 认 安 全 例外 J 即 可 ! 如 果 一 切 顺利 ， 就 会 出 现 
如 下 的 CUPS 设 

定 图 示 : 


net.giang@hotmail.com 


管理 - CUPS 1.4.2 - Mozilla Firefox =|D| x| 
禄 案 国 桥 辑 巴 榨 视 {四 历史 思 沁 铬 加 工具 位 说 明 促 
1€ 2 GPRETE) htps//192.168.1.100:631/dmin 


G Home | Administration | Classes | Online Help | Jobs | Printers 
1 
Pin < Server 
Server Settings: 
Classes 9 
Advanced > 
Add Class | Manage Classes | 区 Show printers shared by other systems 
FF Share printers connected to this System 
Pe 厂 Allma Mrintinn fram the 2 
震 要 授权 区 | 
https:#192.168.1.100:631 要 求 翰 入 帐号 戈 密码， 该 秽 站 说 : "CUPS" 
使 用 者 名 得 : | root 
密码 : | eeeeeel 


i 


图 16.2-3、 用 CUPS 设 定 USB 打印 机 


在 上 头 的 欢迎 独 示 当 中 ， 由 于 我 们 是 想 要 建立 打印 机 ， 因 此 点 选 箭头 
(1) 所 指 的 那 


个 按钮 进入 打印 机 功能 ， 然 后 点 选 (2) 来 建立 打印 机 吧 ! 
图 16.2-4、 用 CUPS 设 定 USB 打印 机 


这 一 版 比较 有 趣 的 地 方 ， 是 会 完 让 你 输入 账号 与 密码 才 进 行 后 续 的 动 
作 哩 ! 所 以 这 


里 请 输入 root 的 帐 密 吧 ! 


net.giang@hotmail.com 


新 塌 印 去 村 - CUPS 1.4.2 - Mozilla Firefox 


档案 四 ”编辑 人 @ 榨 议 四 历史 他 书签 加 工具 四 
€ 9 | AICIDIEDE htpswl921631.100631aimin 


Add Printer 


Local Printers: Xi HP LaserJet P2015 Series (HP LaserJet P2015 Series) 
C SCS| 印 表 机 
Discovered Network Printers: 


Other Network Printers: C Internet 1 印 人 通讯 协定 (https) 
O Internet 列 印 通讯 化 定 (ipp) 
C Internet 列 印 通讯 仿 定 (http) 
C LPDILPR 主机 或 印 表 机 
C Windows Printer via SAMBA 
C AppSocketHP JetDirect 


_Contime | < 一 一 2 


新 塌 印 卖 村 - CUPS 1.4.2 - Mozilla Firefox 一 | 口 | x| 
补 案 四” 扣 加 四。 检 讽 0) 区 史 人 守 红 B) 工具 (吉明 


€ 2 GEE) Mtps/192.168.1.100:631dmin 


(May contain any printable characters except "/”, "#', and space) 


Description: [HP LaserJet F2015 Series 


(Human-readable description such as "HP LaserJet with Duplexer") 


2 Location: [YBira's Office 
Conne 


(Human-readable location such as "Lab 1") 1 
: USbWHPILaserJet9%20P20159%20SerieS 
Sharing: Yi Share This Printer 


Ei、， 


Add Printer 
Name: [HP LaserJet_ P2015 series 


图 16.2-5、 用 CUPS 设 定 USB 打印 机 


在 上 面 的 图 示 中 ， 你 应 该 要 选择 的 是 我 们 这 部 本 机 的 USB 打印 机 装置 
才 对 。 该 装 


置 是 由 HAL 服务 所 目 动 侦 测 到 的 ， 如 条 你 没有 看 到 任何 USB 的 打印 
机 ， 那 可 能 号 得 


要 查询 一 下 打印 机 电源 是 否 正 人 确 的 开启 了 ! 点 选 他 吧 ! 
图 16.2-6、 用 CUPS 设 定 USB 打印 机 


建立 打印 机 时 ， 最 重要 的 是 那个 打印 队列 (上 面 方 框 中 的 第 一 个 ， 名 称 
的 那个 玩意 

儿 )， 在 这 里 乌 哥 使 用 CUPS 预 设 帮 我 捉 到 的 档 名 。 这 个 名 称 很 重要 ， 

征 未 来 分 享 出 的 

打印 机 名 字 嗓 ! 至 于 位 置 与 描述 束 随 便 你 填 哆 。 由 于 我 们 十 想 要 做 成 

打印 服务 器 ， 所 以 


Tshare this printer 4 当然 要 勺 选 ! 当 你 按 下 『 继 续 〗 后 ， 束 会 出 现 如 
下 图 示 : 


net.giang@hotmail.com 


新 塌 印 卖 村 - CUPS 1.4.2 - Mozilla Firefox 这 | 口 | X| 
档案 加 ” 罚 辑 囊 检视 (四 历史 思 书签 加 工具 上 
e192.168.1.100 es 168.1. adem 


Gnaatiore i HHP/LaserJet% 20P2015%20Series 
Sharing: ep th Printer 


Make: HP Mtoe | 


Model: 


I* >(@ r jo0s 
Set Default Options for HP_LaserJet P2015_Series 


General 已 安装 的 渤 项 ”标语 政策 


编辑 全 ) 2 历史 亿 坦 芳 加 = 说 明 


General 
Media Size: [Leter 8.5x1lin 了 | 
Double-Sided Printing: [of "| 


Media Source: [AuoSelet | 
Output Mode: [Graysaale 7| 
Media Type: [Plain Parer | 

Print Quality: [Nomal | 


图 16.2-7、 用 CUPS 设 定 USB 打印 机 


接 下 来 CUPS 会 帮 你 选择 一 个 相对 较 佳 的 驱动 程序 ， 基 本 上 ， 使 用 
CUPS 帮 你 捉 到 


的 预 设 驱动 程序 应 该 就 OK 了 ! 选 完 后 请 按 下 『 加 入 打印 机 J 按钮 
吧 ! 


图 16.2-8、 用 CUPS 设 定 USB 打印 机 


看 你 还 有 没有 要 修改 其 他 的 预 设 参数 ， 如 果 没 有 的 话 ， 就 按 下 图 16.2-8 
的 『Set 


Default OptionsJ 按钮 吧 ! 如 果 一 切 没有 问题 ， 你 的 打印 机 就 设 定 妥当 
了 。 如 果 想 要 


查阅 打印 机 的 详细 信息 ， 那 可 以 点 选 Printer 的 项 目 ! 如 下 图 所 示 : 


net.giang@hotmail.com 
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图 16.2-9、 用 CUPS 设 定 USB 打印 机 


如 采 都 正常 没 问 题 ， 那 么 你 的 系统 已 经 有 一 部 打印 机 被 CUPS 所 管 
理 ， 且 这 部 打印 


机 在 网 络 的 网 址 为 : 

DO http:// 服 务 器 IP:631/printers/ 打 印 机 队列 名 称 

D http://192.168.100.254:631/printers/HP_LaserJet_P2015_Series 

接 下 来 看 看 如 何 将 它 连 结 到 咱们 的 Samba 服务 器 中 吧 ! 

3. 在 smb.conf 当中 加 入 打印 机 的 支持 (Optional) 

开始 告诉 Samba 将 这 部 打印 机 给 他 分 享 出 去 吧 ! 你 需要 这 样 处 理 : 


[root@www ~]# vim /etc/samba/smb.conf 

[globalj 

# 得 要 修改 load printers 的 设 定 ， 然 后 新 增 几 个 数据 
load printers = yes 

cups options = raw <== 可 文 持 来 目 Windows 用 户 的 打印 作 
业 

printcap name = cups 

printing = cups <== 与 上 面 这 两 个 在 告知 使 用 CUPS 打 
印 系 统 

[printers] <== 打 印 机 一 定 要 写 printers 喔 | 

comment = All Printers 


net.qiang@Ohotmail.com 


path = /varspoolsamba<== 预 设 把 来 目 samba 的 打印 作业 和 暂 


时 放置 的 队列 
browseable = no <== 不 被 外 人 所 浏 抽 啦 ! 有 权限 才 可 浏 


Nas 
UU 


guest ok = no <== 与 底下 两 个 都 不 许 访 客 来 源 与 写 入 
( 非 文件 系统 ) 

writable = no 

printable = yes <== 人 允许 打印 很 重要 的 一 项 工作 ! 


[root@www ~]# testparm <== 各 有 错误 ， 请 上 自行 处 理 一 下 


[root@www ~]# /etc/init.d/smb restart 


[root@www ~]# /etc/init.d/nmb restart 


基本 上 透 过 这 样 的 设 定 你 的 Samba 就 能 够 顺利 的 提供 打印 机 的 服务 
了 |! 不 过 可 惜 的 是 ， 


Windows 客户 端 依旧 得 要 安装 打印 机 的 驱动 程序 才能 够 使 用 Samba 所 
提供 的 打印 机 ， 


此 时 真是 矿 烦 兼 讨厌 啊 一 有 没有 可 能 让 Samba 主动 的 提供 驱动 程序 给 
使 用 者 ， 这 样 一 


来 客户 端 束 不 需要 额外 去 找 驱 动 程序 史 ! 是 可 以 的 ， 透 过 Samba 3.x 即 
可 处 理 ! 就 这 


信 巧 ， CentOS 的 Samba 就 是 3.x 呢 ! 所 以 我 们 可 以 透 过 底下 的 方式 来 
处 理 。 


吕 
4. 让 Samba 主动 提供 驱动 程序 给 Windows 用 户 使 用 


另外 ， 或 许 你 会 想 ， 打 印 机 的 型 号 这 么 多 ， 那 么 Linux 该 如 何 提供 这 
些 打印 机 的 


驱动 程序 啊 ? 岂 不 麻烦 ? 还 好 啦 ， CUPS 主要 是 透 过 利用 Postscript 的 
4 印证 言 写 


打印 机 沟通 的 ， 因 此 客户 端 只 要 取得 postscript 的 驱动 程序 他 们 束 能 够 
使 用 咀 们 的 


Samba 服务 天 所 提供 的 打印 机 了 ! 如 此 一 来 ， 不 论 打印 机 的 型 号 为 
何 ， 只 要 他 们 能 够 


支持 Postscript 的 打印 格式 ，OK 搞定 ! 而 且 CUPS 官网 本 号 束 有 提供 
CUPS 的 


Postscript 驱动 程序 史 ! 可 以 到 底下 的 连结 去 下 载 : 
0 支持 CUPS 的 软件 :_http:/www.cups.org/software.php 


很 棒 的 是 ， 因 为 我 们 是 CentOS 6.x 有 支持 rpm 软件 封装 的 系统 ， 因 此 
可 以 直接 


下 载 cups-windows-6.0-1.i386.rpm 这 个 档案 即 可 ， 直 接 安装 这 个 rpm 档 
案 束 能 够 取 


得 cups 对 Windows 的 打印 机 驱动 程序 了 。 这 个 档案 安装 完毕 之 后 ， 会 
将 驱动 程序 放 


置 于 /usr/share/cups/drivers/ 里 头 哟 ! 不 过 你 得 要 注意 的 是 ， 除 了 这 个 
驱动 程序 


外 ， 要 支持 Windows 2000 以 后 出 产 的 Windows 版 本 ， 你 还 得 到 
Windows XP 底下 的 


目录 去 下 载 几 个 32 位 文 持 的 档案 : 


0 Win XP 32 位 : C:\WINDOWS\system32\spool\drivers\w32x86\3 


将 该 目录 下 里 面 的 PS 开头 的 档案 通通 下 载 下 来 ， 应 该 有 四 个 档案 的 ， 
请 将 他 复制 


成 为 档 名 小 写 的 档案 ， 并 且 放 置 到 你 Samba 服务 右上 的 


/usr/share/cups/drivers/ 


net.giang@hotmail.com 


目录 下 ， 该 目录 内 放置 的 这 束 是 基本 的 驱动 程序 说 ! 在 乌 哥 的 这 个 目 
孙 抵 下 至 少 含有 


这 几 个 档案 束 古 了 : 

[root@www ~]# 1 /usr/share/cups/drivers 

-rw-I--r-- 1 root root 803 4 月 20 2006 cups6.inf 

-rW-r--r-- 1 root root 72 4 月 20 2006 cups6.ini 

-rw-r--r-- 1 root root 12568 4 月 20 2006 cupsps6.dll 

-rw-r--r-- 1 root root 13672 4 月 20 2006 cupsui6.dll <== 上 面 为 
cups 提供 

-rw-r--r-- 1 root root 129024 3 月 24 13:29 ps5ui.dll <== 底 下 为 
Win XP 提供 

-rw-I--r-- 1 root root 455168 3 月 24 13:29 pscript5.dll 
-rW-r--r-- 1 root root 27568 3 月 24 13:29 pscript.hlp 

-rw-r--r-- 1 root root 792644 3 月 24 13:29 pscript.ntf 


I 你 可 以 在 底下 的 连结 下 
车 义 : 


0 


Z 


不 过 你 得 注意 ， 这 个 档案 内 的 Windows 数据 是 由 32 位 的 Windows XP 
上 面 提 来 


的 ， 所 以 对 于 Windows 98/ME 是 没有 作用 的 。 同 时 ， 对 于 64 位 的 其 他 
较 晚 期 的 


Windows 7 等 系统 可 能 就 得 要 重新 处 理 了 ! 你 得 自行 上 网 查阅 相关 的 
数据 下 载 方 式 喔 。 


接 下 来 我 们 必须 要 在 smb.conf 里 面 增加 一 笔 新 的 分 享 数据 ， 这 个 分 享 
数据 必须 是 


[print$] 名 称 才 行 ! 有 点 类 似 这 样 啦 : 


[root@www ~]# vim /etc/samba/smb.conf 


[global] 

…( 设 定 保 留 原本 数据 )..… 
[homes] 

…( 设 定 保 留 原本 数据 )..… 
[printers] 

…( 设 定 保 留 原本 数据 )..… 
[print$] 


comment = Printer drivers 
path = /etc/samba/drivers <== 存 放 打 印 机 驱动 程序 的 目 
孙 


browseable = yes 

guest ok = no 

read only = yes 

write list = root <== 这 个 驱动 程序 的 管理 员 
[project] 

net.qiang@Ohotmail.com 

…( 设 定 保 留 原本 数据 )..… 

[root@www ~]# mkdir /etc/samba/drivers 


[root@www ~]# chcon -t samba_share_t /etc/samba/drivers 


# 由 于 预 设 的 CUPS 仅 有 root 能 管理 ， 因 此 我 们 以 root 作为 打印 机 管 


Dail 


# 同时 SELinux 的 类 型 也 要 修订 如 上 的 方式 ! 

那 root 就 得 要 加 入 samba 的 

支持 才 行 : 

[root@www ~]# pdbedit -a -u root 

[root@www ~]# testparm <== 测 试 语法 
[root@www ~]# /etc/init.d/smb restart <== 重 新 启动 
[root@www ~]# smbalient -L /127.0.0.1 -U root 


Enter root's password: <== 输 入 root 在 samba 的 密码 完 


Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

print$ Disk Printer drivers 

project Disk smbuser's project 

HP_LaserJet P2015_Series Printer HP LaserJet P2015 Series 

IPCS$ IPC IPC Service (This is vbird's samba 

server) 

root Disk Home Directories 

# 瞧 ! 有 看 到 一 部 打印 机 以 及 驱动 程序 所 在 的 分 享 数据 哎 ! 


现在 我 们 要 告知 Samba 说 ， 我 们 的 CUPS 可 提供 Windows 客户 端的 弛 
动 程序 ， 所 以 用 


户 不 需要 自行 设 定 他 们 的 驱动 程序 哩 ! 要 由 cups 告知 Samba 是 由 
cupsaddsmb 这 个 


指令 来 搞定 的 ， 整 个 指令 的 执行 很 们 单 的 : 


[root@www ~]# cupsaddsmb [-H SAMBA 服务 器 名 ] [-h CUPS 服务 絮 名 ] 
\ 


> -a -v [-U 使 用 者 账号 ] 


选项 与 参数 : 
- 理 : 后 续 接 的 是 Samba 服务 器 名 ， 本 机 的 话 可 以 直接 用 localhost 妈 
可 ; 


-h : 后 续 接 的 为 CUPS 的 服务 絮 名 ， 同 样 的 可 使 用 localhost 即 可 ; 


-a: 目 动 搜寻 出 所 有 可 用 的 CUPS 打印 机 ; 
-Vv: 列 出 更 多 的 信息 ; 
-U : 打印 机 管理 员 


# 利用 前 面 的 说 明 将 打印 机 驱动 程序 挂 上 SAMBA (注意 CUPS 管理 员 
预 设 是 


root) 

[root@www ~]# cupsaddsmb -H localhost -U root -a -V 
net.giang@hotmail.com 

Password for root required to access localhost via SAMBA: <==root 在 
SAMBA 密码 


# 这 里 会 内 过 很 多 的 讯息 ， 说 明 已 经 安装 了 某 些 信息 ， 底 下 鸟 哥 仅 列 出 
简单 的 


讯 县 而 已 . 


Running command: smbclient //localhost/print$ -N -A /tmp/cupsbrdBak -c 
'mkdir 


W32X86;put /tmp/cupsul3OSU 
W32X86/HP_LaserJet_ P2015_Series.ppd;... 


[root@www ~]# 1 /etc/samba/drivers 
drwxr-xr-x. 3 root root 4096 Jul 29 15:15 W32X86 <== 这 就 是 驱动 程序 


目 永 


最 后 在 驱动 程序 的 存放 目录 会 多 出 一 个 W32X86 的 目录 ， 你 可 以 查询 
一 下 该 目 邓 的 内 容 ， 


那 就 是 预计 要 给 客户 端 使 用 的 驱动 程序 啦 ! 这 样 就 搞定 了 ! 不 过 ， 为 
了 将 所 有 的 数据 通 


通 驱 动 ， 建 议 你 将 CUPS 及 SAMBA 通通 重新 启动 吧 ! 


[root@www ~]# /etc/init.d/cups restart 
[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 
0 

5. 一 些 问 题 的 克服 : 


如 果 一 切 顺 利 的 话 ， 你 在 Windows 客户 端 应 该 可 以 顺利 的 连接 到 打印 
机 哆 ! 开心 


吧 ! 不 过 ， 如 琳 你 曾经 印 错 数 据 ， 那 么 该 如 何 进 入 Linux 的 Samba 主 
机 将 该 数据 移 除 


呢 ? 你 最 好 知道 底下 的 几 个 指令 ， 关 于 这 些 指令 的 进 阶 用 法 则 请 目 行 
给 他 man 看 看 了 : 


#1. 列 出 所 有 可 用 的 打印 机 状态 


[root@www ~]# lpstat -a 

HP_LaserJet P2015_Series accepting requests since Fri 29 Jul 2011 
02:55:28 PM CST 

#2. 查询 目前 默认 打印 机 的 的 工作 情况 


[root@www ~]# lpg 


hpljp2015dn 已 就 绪 
没有 项 目 


# 列 出 打印 机 的 工作 ， 奉 有 打印 作业 存在 时 (例如 关 掉 打印 机 再 印 测试 
页 )， 


会 如 下 所 示 : 

hpljp2015dn 已 就 绪 并 正在 打印 

等 级 拥有 人 工作 档案 总 计 大 小 

active root 2 Test Page 17408 byte 
net.qiang@hotmail.com 

O 

# 3. 删除 所 有 的 工作 项 目 喔 ! 

[root@www ~]# lprm - 

# 加 上 那个 减 号 (-) 代表 移 除 所 有 等 待 中 的 打印 作业 ! 


打印 作业 就 是 这 样 进行 的 啦 ! 赶紧 试看 看 吧 ! 接 下 来 探讨 一 下 相关 的 
防火 墙 与 安全 性 的 


讨论 ! 
16.2.6 安全 性 的 议题 与 管理 


使 用 SAMBA 其 实 是 有 一 定 程度 的 危险 性 的 ， 这 是 因为 很 多 网 络 攻击 
的 蠕虫 、 病 毒 、 


木马 就 是 透 过 网 廊 来 攻击 的 ! 为 了 抵挡 不 必要 的 联机 ， 所 以 CentOS 
5.x 预 设 的 


SELinux 已 经 关闭 了 很 多 Samba 联机 的 功能 ， 因 此 稚 认 情况 下 ， 很 多 
客户 只 的 挂 载 可 


能 会 有 问题 。 此 外 ， 仅 开放 有 权限 的 网 域 来 源 ， 以 及 透 过 smb.conf 来 
管理 特定 的 权限 ， 


也 是 很 重要 的 ! 同时 ，Linux 文件 系统 的 mp wx 权限 也 是 需要 注意 的 
喔 ! 我 们 帮 下 


就 简单 的 介绍 一 下 一 些 基 本 的 安全 性 管理 吧 | 
0 
SELinux 的 相关 议题 : 


于 (7.4.5) 里 面 提 人 到 的 ， 我 们 透 过 登录 档 的 内 容 束 能 够 


解决 SELinux 对 各 个 服务 所 造成 的 问题 了。 不过， 既然 我 们 知道 服务 


是 Samba 了， 能 


不 能 找 出 与 Samba 有 关 的 SELinux 规则 呢 ? 当然 可 以 ! 基本 的 Samba 
规则 主要 有 : 


[root@www ~]# getsebool -a | grep samba 
samba_domain_controller --> off <==PDC 时 可 能 会 用 到 
samba_enable_home_dirs --> off <== 开 放 用 户 使 用 家 目录 
samba_export_all_ro --> off <== 人 允许 只 读 文 件 系 统 的 功能 
samba_export_all_rw --> off <== 人 允许 读 写 文件 系统 的 功能 
samba_share fusefs --> off 


samba_ share_nfs --> off 


use_samba_home_dirs --> off <== 类 似 用 户 家 目录 的 开放 | 


virt_use_samba --> off 


看 吧 ! 几乎 所 有 的 规则 默认 都 是 关闭 的 ! 所 以 我 们 需要 慢 慢 的 打开 
啊 ! 目前 我 们 仅 会 用 


到 用 户 的 家 目录 以 及 分 享 成 为 可 氛 写 ， 不 过 似乎 仪 要 


samba_enable_home_dirs 那个 

项 目 设 定 妥 当即 可 喔 ! 因此 我 们 可 以 这 样 做 : 
net.giang@hotmail.com 

[root@www ~]# setsebool -P samba_enable_home _ dirs=1 
[root@www ~]# getsebool -a | grep samba_enable_home 


samba_enable home dirs --> on 


这 样 用 户 挂 载 他 们 的 家 目录 时 (例如 smb1 使 用 //127.0.0.1/smb1/) 就 不 
公用 现 无 


法 挂 载 的 怪 问题 了 ! 此 外 ， 由 于 分 享 成 为 Samba 的 目录 还 需要 有 


samba_share t 的 


类 型 。 那 我 们 还 有 分 享 /home/project 还 记得 吗 ? 那个 目录 也 需要 修订 
喔 ! 这 样 做 看 


看 : 


[root@www ~]#1 -Zd /home/project 

drwxrws---. root users unconfined_u:object_r:home_root_t:s0 
/home/project 

[root@www ~]# chcon -t samba_share_t /home/project 


[root@www ~]#1 -Zd /home/project 


drwxrws---. root users Unconfined_u:object_r:samba_share_t:S0 


/home/project 


如 果 你 分 享 的 目录 不 只 是 Samba ， 还 包括 FTP 或 者 是 其 他 的 服务 时 ， 
那 可 能 整 得 要 使 


用 public_content_t 这 个 大 家 都 能 够 读 取 的 类 型 才 行 ! 看 你 还 有 发 现任 
何 SELinux 


的 问题 ， 请 依照 /var/log/messages 里 面 的 信息 去 修订 吧 ! 
D 
防火 墙 议题 ， 利 用 iptables 来 管理 


最 简单 的 管理 登入 SAMBA 的 方法 就 是 透 过 iptables 啦 ! 详细 的 说 明 我 
们 已 经 在 


要 知道 的 是 ， 如 来 


你 ge 
的 范围 开放 Samba 时 ， 可 以 这 样 想 


0D 仅 针 对 192.168.100.0/24, 192.168.1.0/24 这 两 个 网 域 开 放 SAMBA 使 
用 


权 

DD SAMBA 局 用 的 port UDP: 137, 138 及 TCP: 139, 445; 
所 以 iptables.allow 规则 当中 应 该 要 加 入 这 几 项 : 
[root@www ~]# vim /usr/local/virus/iptables/iptables.allow 
#4 加 入 大 下 这 儿 行 ! 


iptables -A INPUT -i $EXTIF -p tcp -s 192.168.100.0/24 -m multiport \ 


--dport 139,445 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p tcp -s 192.168.1.0/24 -m multiport \ 
--dport 139,445 -j ACCEPT 
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iptables -A INPUT -i $EXTIF -p udp -s 192.168.100.0/24 -m multiport \ 
--dport 137,138 -j ACCEPT 

iptables -A INPUT -i $EXTIF -p udp -s 192.168.1.0/24 -m multiport \ 
--dport 137,138 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 年 很 商 单 很 简单 的 防火 墙 规 则 ， 你 必须 要 依据 你 的 环境 目 行 修改 ( 通 
党 修改 那个 


192.168.1.0/24 网 段 即 可 ! )。 由 于 smbd 及 nmbd 并 不 文 持 TCP 
Wrappers ， 所 以 


你 也 只 能 透 过 iptables 来 控制 了 ~ 

0 

防火 墙 议题 : 透 过 内 建 的 Samba 设 定 (smb.conf) 

事实 上 Samba 已 经 有 许多 防火 墙 机 制 啦 ! 那 就 是 在 smb.conf 内 的 hosts 


allow 


及 hosts deny 这 两 个 参数 。 通常 我 们 只 要 使 用 hosts allow 即 可 ， 那 么 
没有 每 入 这 


个 设 定 项 目的 其 他 来 源 融会 被 拒绝 联机 的 ! 这 是 比较 严格 的 设 定 。 举 
例 来 说 ， 如 果 你 


N 


只 想 要 让 本 机 、192.168.100.254, 192.168.100.10, 192.168.1.0/24 使 用 
SAMBA 而 


已 ， 那 么 可 以 这 样 写 : 

[root@www ~]# vim /etc/samba/smb.conf 

[globalj 

# 跟 防 火 才 的 议题 有 关 的 设 定 

hosts allow = 127. 192.168.100.254 192.168.100.10 192.168.1. 
[homes] 

.… 你 留 原 始 设 定 … 

[root@www ~]# testparm 


[root@www ~]# /etc/init.d/smb restart 


这 个 设 定 值 的 内 容 支 持 部 分 比 对 ， 因 此 192.168.1.0/24 只 要 写 出 前 面 三 
个 IP 段 即 可 


(192.168.1.)。 如 此 一 来 不 但 只 有 数 部 主机 可 以 登入 我 们 的 SAMBA 服 
务 器 ， 而 且 设 定 


值 又 简单 ! 不 像 iptables 写 的 落落 长 ~ 乌 哥 建议 在 防火 墙 议题 方面 ， 只 
要 使 用 


iptables 或 hosts allow 其 中 一 项 即 可 ， 当 中 又 以 hosts allow 较为 建议 
嘻 ! 当然 


啦 ， 如 采 你 是 针对 区 网 开放 的 ， 那 么 设 定 iptables 防火 墙 反 而 古 比 较 好 
的 哆 ! 因为 不 


需要 更 动 到 smb.conf 配置 文件 嘛 ! 让 服务 的 设 定 变 的 比较 单纯 些 ~ 
0 


文件 系统 议题 : 利用 Quota 限制 用 户 磁盘 使 用 
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既然 网 方 享 文件 系统 给 用 户 的 ， 那 么 想当然 尔 ， 各 个 Samba 用 
户 们 确实 会 


将 数据 放置 到 你 的 Samba 服务 历 上 嘛 ! 那 万 一 单个 用 户 随 便 上 传 个 数 
百 GB 的 容量 到 


你 的 Samba 服务 器 ， 而 且 常 常 给 你 随意 存 取 一 番 ， 会 不 会 造成 文件 系 
统 分 配 不 公 或 者 


年 市 宽 方 面 的 问题 呢 ? 想 想 束 觉 得 是 『 会 哪 ! J 那 怎 办 ? 融 透 过 Quota 
做 盘 配 额 啊 ! 磁 


们 在 基础 篇 第 三 版 第 十 五 章 已 经 谈 过 ， 在 本 书 第 一 章 (1.2.2- 
3) 里 面 也 已 经 
有 实 作 过 ， 在 底下 请 你 依据 第 一 章 的 后 续 动 作 来 处 理 吧 ! 
例题 : 


我 们 预计 分 配 smb1, smb2, smb3 在 他 们 目 己 的 家 目录 下 ， 各 拥有 
300MB/400MB 


(soft/hard) 的 磁盘 配额 限量 ， 那 该 如 何 做 ? 

管 : 

请 先 依据 第 一 章 的 Quota (1.2.2-3) 相关 数据 处 理 完 : 

吕 /etcfstab 加 入 /home 挂 载 点 的 usrquota,grpquota 等 设 定 值 ; 
0 重新 挂 载 home ， 让 Quota 实际 被 文 持 ; 

0 以 quotacheck -avug 建立 Quota 的 数据 库 档 案 ; 

吕 局 动 Quota ; 


假若 你 已 经 于 第 一 章 台 处 理 完毕 了 ， 那 么 这 一 题 惑 非常 简单 喔 ! 透 过 
edquota -u 


smb1 来 处 理 即 可 ! 

[root@www ~]# edquota -u smb1l 

Disk quotas for user smb1 (uid 2004): 

Filesystem blocks soft hard inodes soft 

hard 

/dev/mapper/server-myhome 0 300000 40000000 
0 

[root@www ~]# edquota -p smb1 smb2 
[root@www ~]# edquota -p smb1 smb3 
[root@www ~]# repquota -ua 

*** Report for user quotas on device /dev/mapper/server-myhome 
Block grace time: 7days; Inode grace time: 7days 
Block limits File limits 

User used soft hard grace used soft hard 

grace 

smb1 -- 32 300000 400000900 


smb2 -- 32 300000 400000800 


smb3 -- 32 300000 400000 800 


net.giang@hotmail.com 


0 


16.2.7 主机 安 滩 时 的 规划 与 中 文 届 区 挂 载 


现在 你 知道 Samba 服务 器 的 功能 是 用 来 作为 文件 服务 右 的 ， 每 个 使 用 
者 都 可 以 拥 


有 家 目录 ， 并 透 过 网 广 的 功能 来 链接 到 Samba 服务 器 中 。 这 整 有 个 问 
题 啦 ， 那 融 生 你 


的 使 用 痢 如 琳 太 多 ， 并 且 将 他 们 的 重要 数据 都 放 到 这 部 Samba 服务 内 
上 头 的 话 ， 那 肯 


定 /home 未 来 会 有 点 不 足 啊 ! 所 以 /home 所 在 的 磁盘 或 许可 以 使 用 大 
一 点 的 硬 开 ， 或 


者 使 用 磁 副 阵列 ， 使 用 LVM (基础 学 3 
案 。 底下 为 


站 


征 个 不 错 的 


简单 的 思考 方 同 : 


0 在 安装 Linux 的 时 候 ， 建 议 不 需要 安装 X Window ; 


0 在 规划 Linux 时 ，/home 最 好 独立 出 一 个 partition ， 而 且 硬 盘 空 间 最 
好 


能 够 大 一 些 ; 
0 home 独立 出 来 的 partition 可 以 单独 进行 quota 的 作业 ， 以 规范 用 户 
的 


最 大 硬盘 用 量 ; 


0 无 网 卡 的 打印 机 (USB) 可 直接 链接 到 Linux 主机 再 透 过 Samba 分 
子 ; 


0 由 于 SAMBA 一 般 来 说 都 仅 针 对 内 部 (LAN) 主机 进行 开放 ， 所 以 ， 
可 能 的 话 

SAMBA 主机 直接 使 用 private IP 来 设 定 即 可 ， 当 然 啦 ， SAMBA 是 否 
使 用 


Et IP 还 得 视 你 的 整个 网 域 的 IP 网 段 的 特性 来 规划 。 以 马 哥 研究 至 
来 说 ， 


因为 实验 室 所 有 计算 机 的 IP 都 是 Public IP， 那 么 SAMBA 如 果 使 用 


Private 
IP 反而 会 让 大 家 都 无 法 连接 上 啊 ! 人 人 


由 SAMBA 主机 使 用 Public IP 时 ， 请 特别 留意 规范 好 防火 墙 
J 设 定 ， 


尽量 仅 让 LAN 内 的 计算 机 可 以 联机 进来 即 可 ， 不 要 对 Internet 开放 
喔 ! 


另外 ， 如 果 你 的 Samba 服务 器 需要 挂 载 舍 有 中 文 的 partition 时 ， 壁 如 
说 你 将 原 


本 Windows XP 的 FAT32 文件 系统 挪 到 Linux 系统 下 ， 此 时 如 果 用 一 
般 模 式 来 挂 载 该 


分 割 权时 ， 一 些 中 文档 名 可 能 会 无 法 被 顺利 的 显示 出 来 。 这 个 时 候 你 
就 得 需要 这 样 做 


本 : 


mount -t vfat -o iocharset=big5,codepage=950 /dev/sd[a-p][1-15] 


/mount/point 


其 中 iocharset 指 的 是 本 机 的 语系 编码 方式 ， codepage 则 与 远程 软件 有 


们 是 在 本 机 进行 挂 载 ， 所 以 实际 上 使 用 iocharset 这 个 参数 即 可 啦 ! 更 
多 说 明 则 请 看 


下 市 的 客户 端 设 是 部 分 哆 | 
16.3 Samba 客户 问 软 件 功 能 


现在 你 已 经 架设 好 了 Samba 服务 右 啦 ! 有 服务 和 右 当 然 要 有 客户 冰 来 使 
用 才 是 好 的 


服务 紫 嘱 ! 不 然 要 这 个 服务 闫 干 嘛 ? 而 我 们 假设 局 域 网 络 内 有 


Windows/Linux 系统 ， 
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这 两 种 系统 都 是 透 过 NetBIOS over TCP/IP 来 连 上 Samba 服务 器 的 ， 
在 设 定之 前 你 


必须 要 知道 的 有 几 件 事 : 

0 在 区 网 内 的 主机 最 好 具有 相同 的 工作 组 ， 且 具有 不 同 的 主机 和 名; 

0 Windows XP pro. 最 多 仅 能 允许 十 个 用 户 同 时 连接 到 目 己 的 网 方 ; 

0 你 可 以 在 网 廊 当 中 看 到 的 通常 是 相同 群 组 的 主机 .; 

0 可 以 使 用 『 搜 寻 J-->『 计 算 机 J -->『 输 入 IPJ 来 查 到 Samba 主机 ; 
D Windows 的 网 廊 预 设 仅 有 同一 IP 网 段 的 主机 才能 登入 (Windows 防 


火 墙 


设 定 )! 


接 下 来 咱们 就 分 别 依照 Windows 及 Linux 系统 来 做 说 明 吧 ! 


16.3.1 Windows 系统 的 使 用 


在 Windows 上 面 的 搜寻 网 络 上 的 网 邢 主 机 实在 挺 简 单 的 ， 你 有 好 儿 种 
方法 可 以 处 


理 : 


DD 打开 『 档 案 总 管 ] ，『 网 络 上 的 芳 令 1、『 整 个 网 络 ]、『Microsoft 
Windows 


NetworkJ 束 能 看 到 属于 你 群 组 的 所 有 计算 机 主机 了 ! 
0 『 开 始 l 、『 搜 寻 4 、 工 档案 或 文件 夹 4 、『 计 算 机 或 人 员 4 、『 网 


络 上 的 


一 


计算 机 1， 然后 在 出 现 的 方 框 当 中 填写 正确 的 了 PP ， 按 下 『 搜 寻 J 即 
可 ! 这 个 方 


法 可 以 适用 于 不 在 同一 个 群 组 当中 的 网 络 主机 喔 ! 
如果 是 Windows 7 的 话 ， 只 要 点 选 文 件 夹 即 可 。 


举例 来 说 ， 如 果 想 要 连接 到 我 们 的 Samba 主机 的 话 ， 而 又 不 知 到 这 前 
Samba 主机 


的 NetBIOS name ， 那 利用 搜寻 的 结果 会 有 点 类 似 如 下 的 图 示 : 
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区》 
~ -A 


组 合 管理 v 。 纺 路 和 共用 宁 心 


” 4 二 及 (3) 


新 党 纯 表 机 。 新 准 年 斤 美 年 


> 国 文件 A VBIRDSERVER 

b eh) 富 尖 

”图 六 及 

,gm 国有 A WIN7-PC 3 


对 入 网 路 客 码 
庆 府 入 你 的 窑 短 林 这 综 到 : VBIRDSERVER 


[sd 
图 16.3-1、Windows 7 客户 端 搜寻 示意 图 


上 图 左 侧 先 点 选 『 网 络 1 ， 然 后 到 右上 方 的 框框 中 ， 输 入 NetBIOS 
name， 若 不 知 


道 的 话 ， 就 留 日 让 Windows 7 目 己 找 。 如 上 图 所 示 ， 就 有 找到 三 部 网 
络 主机 啊 ! 我 们 


来 点 选 一 下 VBIRDSERVER 吧 ! 因为 要 登入 人 家 服务 右 ， 所 以 束 被 要 
求 要 输入 密码 。 如 


下 图 所 示 ， 请 填写 好 你 所 拥有 的 账号 与 密码 吧 ! 
图 16.3-2、Windows 7 客户 端 登 入 SAMBA 服务 器 示意 图 


耕 顺利 登入 系统 了 ， 那 么 就 能 够 看 到 如 下 的 图 示 ， 束 古 取 得 该 服务 右 
的 可 用 资源 啦 ! 


因为 我 们 并 没有 针对 Windows 7 提供 打印 机 的 驱动 程序 ， 那 部 份 先 略 
过 。 我 们 现在 来 


将 project 挂 载 成 本 机 磁盘 试看 看 : 
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Il 加 、 深 路 。， VBIRDSERVER ， 


扯 合 管理 了 总 路 和 和 冯 用 二 必 徐 谋 各 尘 久 喜人 淮 对 |: 
对 广 仁 从 
中 去 涯 A HP LaserJet P2015 Series 
= EE De 
一 司 片 _ project pp | 
| ms 共用 | 于 散 (O) 
踢 至 爱 | | 在 新 说 宫 关 获 (E) 
| smb1l AR . 
上 有 往 田 了 永吉 可 以 莫 综 浏 壹 (从 ) 
合 折 基 中 迁 原 售 版 (V) 
过 绽 习 


EE 
|! project (WVBIRDSERVER) 次 综 可 用 性 : 


.内 适 立 接 低 (S) 


芯 骨 二 和 


< 


(中 ) 人 运 殷 所 路 世 吾 估 


您 想 对 应 什么 网 路 资料 来 ? 


资料 交 (O 〇 ): VBIRDSERVER\project 


图 16.3-3、Windows 7 客户 端 登入 SAMBA 服务 器 示意 网 


如 上 图 所 示 ， 在 project 上 面 右 键 单 击 ， 远 择 『 联 机 网 络 驱 动 絮 机 J ， 
束 会 出 现 


如 下 的 画面 让 你 去 选择 挂 载 磁盘 弛 动 奏 的 参数 喔 ; 
图 16.3-4、Windows 7 客户 端 挂 载 网 络 驱 动 器 机 的 示意 
你 可 以 目 己 调整 想 要 的 驱动 右 号 ， 例 如 预 设 的 Z 槽 ， 那 么 以 后 你 的 档 


案 总 管 中 了 网 


会 生出 一 个 Z 梳 ， 该 磁盘 权 就 代表 \192.168.100.254\project 那个 分 享 
的 目录 哆 ! 


0 
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te 使 用 Windows 防火 瘤 来 雇 助 保护 您 的 晶 肥 


区 计生 忒 或 功 瑟 通过 Windows Windows 防火 注 吧 於 防止 束 窜 及 于 言 于 短 透 过 涡 训 总 路 或 涡 吵 有 互 到 你 的 雷 腾 : 
Pe 
防火 糖 
[a i 放火 注 垢 何 语 动 任 鞭 实 的 志 障 
+ 庆 是 鸯 路 位 置 ? 
[3 kK 浪 : - 
© : 图 留 家 所 或 工作 场所 私人 ) 网 路 (O) 
四 家 及 或 工作 场所 的 污 落 (您 知 首 冯 信 任 接 绩 落 上 的 人 员 和 与 装 枉 ) 
Windows 防火 壹 区 每 : 参考 
过 人 过 过 过 名 寺 认 不 志 父 许 的 程式 洲 昔 三 之 
过 涪 
售 忆 二 的 家 局 或 工作 声 折 ( 科 八 ) 沈 落 起 插 徐 
通知 头 基 营 Windows 防火 渔 革 总 竺 


图 @@ 人 后 冯 P) 
让 Windows 系统 的 网 芳 支 持 不 同 网 域 的 IP 联机 


由 于 网 芳 的 资 安 问题 越 来 越 严 重 ， 因 此 Windows XP 之 后 的 版 本 都 预 设 


仅 开 放 本 机 


IP 网 域 的 网 和 芳 联 机 而 已 。 如 果 你 的 Windows 想 要 让 别人 可 以 在 
Internet 或 不 同 的 


IP 网 段 对 你 联机 时 ， 你 就 得 修改 一 下 防火 墙 的 设 定 啊 ! 请 叫 出 控制 
台 ， 然 后 点 选 


TWindows 防火 墙 了 就 会 出 现 如 下 的 图 示 了 : 
图 16.3-5、Windows 7 服务 器 防火 墙 示 意图 


因为 我 们 得 要 细部 设 定 防 火 墙 ， 因 此 点 选 上 图 中 左 侧 的 『 进 阶 设 定 J 
来 取得 如 下 图 


示 吧 ! 
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戎 员 丰 进 荡 雪 全 尾 的 Windows 防火 六 ele 
瘤 实 ( 执行 (A) 杭 闹 (V) 培 遇 (H) 
各 中 | 庙 国 | 已 | 日 国 


内 三 各 所 及 上 下 寿 兴 滋 交 宇 位 多 \ 
| 


名 玫 
二 二天 下 到 规 去 所 (NB8-Session-fh) 
人 @ 屿 二 玉 习 示 梁 二 己 (NB-Sessionfin) 效 实 去 习 志 党 二 与 
做 各 守 大 于 山 二 所 (N8-Sessio 
人 入 于 天 引 友 当 二 己 (SMB-In) 


| 下 = 二 En 通讯 局 定 及 各 接壤 
使 用 者 
本 楼 了 SS 
中 回 任何 全 位 址 QW) 


纺 些 如 位 址 (T): 


R 


速 端正 位 址 
oF 3 任何 如 位 址 们 ) 
9 图 这 些 位 址 旧 ): 


ee | 新 增 .. 
图 16.3-6、Windows 7 服务 器 防火 墙 示意 图 


还 记得 网 络 是 双向 的 吧 ? 所 以 ,我 们 得 先 要 针对 输入 (从 外 部 连 到 本 
机 ) 的 规则 来 


处 置 。 如 上 图 所 示 ， 按 下 (1) 输 入 规则 ， 然 后 点 选 (2) 档 案 及 打印 机 共 
享 ， 之 后 到 (3) 


选择 详细 的 规则 内 容 ， 会 出 现 男 外 一 个 窗口 ， 在 (4) 点 选 【 领 域 4 的 部 
分 来 设 定 不 同 网 


段 ， 最 终 在 (5) 的 地 方 『 新 增 4 可 进入 本 机 的 远程 IP 网 段 喔 ! 按 下 新 
增 会 出 现 如 下 


图 示 喔 : 
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指定 要 比 圣 的 IP 位 址 : 
加 此 下 位 址 或 子 网 路 他 
192.168.100.0224 


192.168.1.0 
2002:9d3b:1 208:74if:fe39:6c43 
2002:9d3b:1a31:W08:74ff:fe39:0/112 


向 这 个 节 位 址 和 范 图 RY): 
从 四 :| 


至 TY: | 
各 预先 定 闵 的 电脑 集 时 ): 


本 楼 地 出 咯 
192.168.100.024 
192.168.1.024 


只 可 和 更 多 结 录 


| \\192.168.100.254 x | ”| 


图 16.3-7、Windows 7 服务 器 防火 墙 示 意图 


如 上 图 所 示 ， 在 (1) 填 写 正确 的 IP 或 网 段 ， 然 后 按 下 (2) 确 定 后 ， 就 
够 在 (3) 


的 框框 当中 出 现 可 联机 的 远程 服务 器 哆 | 
D 
透 过 port 445 的 特殊 登入 方式 


如 果 你 知道 Samba 服务 器 有 启用 port 445 ， 并 且 他 已 经 分 享 了 某 个 目 
孙 时 ， 举 


例 来 说 ， 我 们 的 192.168.100.254 有 分 享 出 project 这 个 分 享 资源 名 称 
了 时， 水 么 这 个 


目录 的 完整 写法 为 :，『 \192.168.100.254\project 4 ， 我 们 可 以 透 过 
【开始 4 出现 


的 那个 方 框 来 处 理 这 个 玩意 儿 ! 如 下 所 示 : 


图 16.3-8、Windows 7 透 过 port 445 联机 
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0 


如 和 可 以 登入 的 话 吏 会 顺利 登入 ， 否 则 怠 会 弹出 一 个 要 你 输入 账号 密 
码 的 窗口 ， 输 


入 正确 的 数据 即 可 ! 呼 呼 ! 真 过 关 ~~ 除 此 之 外 ， 我 们 还 可 以 登入 别人 
Windows 主机 的 


C 或 D 模 喔 ! 写法 则 变 成 这 样 : 
0 \192.168.100.20\c$ 


所 以 说 ， 怕 了 吧 ! 俐 还 真 害 介 一 所 以 啊 ，Samba 没 必 要 时 ， 那 个 port 
445 应 该 是 


可 以 关闭 的 吧 ! 
16.3.2 Linux 系统 的 使 用 
0 


smbclient: 查询 网 芳 分 享 的 资源 ， 以 及 使 用 类 似 FTP 的 方式 上 传 / 下 载 
网 


有 


虽 们 的 Samba 有 提供 Linux 网 方 的 客户 端 功能 喔 ! 也 束 是 说 Linux 可 
以 挂 载 


Samba 服务 絮 也 能 挂 载 Windows 提供 的 网 芳 啦 ! 主要 是 透 过 smbclient 
来 观察 ， 再 以 


mount 来 挂 载 文件 系统 哩 。 移 来 介绍 一 下 smbclient 这 个 指令 吧 : 

#1. 关于 查询 的 功能 ， 例 如 查 出 192.168.100.254 的 网 方 数据 
[root@clientlinux ~]# smbcalient -L //[IPlhostname] [-U username] 
[root@clientlinux ~]# smbclient -L //192.168.100.254 -U smbl 

Enter smb1's password: 

Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 
Sharename Type Comment 

project Disk smbuser's project 

print$ Disk Printer drivers 

IPCS$ IPC IPC Service (This is vbird's samba 

server) 

HP_LaserJet P2015_Series Printer HP LaserJet P2015 Series 

smbl Disk Home Directories <== 等 一 下 用 这 个 当 

范例 

Domain=[VBIRDHOUSE]OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 


Server Comment 


VBIRDSERVER This is vbird's samba server 
net.giang@hotmail.com 

Workgroup Master 

VBIRDHOUSE VBIRDSERVER 


这 里 可 以 知道 在 目前 网 域 当中 有 多 少 个 工作 组 与 主要 的 名 称 解 析 主 


除了 这 个 先前 用 过 的 查询 功能 之 外 ， 我 们 可 以 这 样 简 易 使 用 网 廊 的 : 
#2. 利用 类 似 FTP 的 方式 登入 远程 主机 


[root@clientlinux ~]# smbclient W/W[IPlhostname]/ 资 源 名 称 ' [-U 


Username] 


# 意思 是 使 用 某 个 账号 来 直接 登入 某 部 主机 的 某 个 分 享 资源 ， 举 例如 
下 


[root@clientlinux ~]# smbcalient //192.168.100.254/smb1' -U smb1l 
Enter smb1's password: 
Domain=[VBIRDHOUSE] OS=[Unix] Server=[Samba 3.5.4-68.el6_0.2] 


smb: \> dir 


# 在 smb: \> 底下 其 实 就 是 在 /192.168.100.254/dmtsai 这 个 目录 底下 
啦 ! 所 以 ， 
# 我 们 可 以 使 用 dir, get, put 等 常用 的 ftp 指令 来 进行 数据 传输 了 1! 


? : 列 出 所 有 可 以 用 的 指令 ， 和 常用 |! 

cd :变换 到 远程 主机 的 目录 

del : 杀 挥 某 个 档案 

lcd :变换 本 机 端的 目录 

ls :察看 目前 所 在 目录 的 档案 

dir :与 ls 相同 

get :下 载 单一 档案 

mget: 下 载 大 量 档 案 

mput: 上 传 大 量 档案 

put :上 传单 一 档案 

rm :删除 档案 

exit: 离 开 smbclient 的 软件 功能 

# 其 他 的 指令 用 法 请 参考 man smbclient 喔 ! 
0 

mount.cifs: 直接 挂 载 网 芳 成 为 网 络 驱动 器 机 


事实 上 ， 使 用 smbclient 一 点 也 不 方便 ， 因 为 使 用 的 是 ftp 的 功能 语 
法 ， 有 点 怪 


怪 的 ~ 能 不 能 像 Windows 那样 ， 可 以 直接 联机 网 络 驱动 器 机 啊 ? 这 当 
然 没 有 问题 ! 不 


过 束 需 要 厌 由 mount.cifs 来 协助 了 ! 


早期 的 Samba 主要 是 提供 smbmount 或 mount.smbfs 这 个 指令 来 挂 载 
(smbfs 


是 SMB filesystem 的 缩写 )， 不 过 这 个 指令 已 经 被 可 以 进行 比较 好 的 编 
码 判 断 的 
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mount.cifs 所 取代 啦 ! mount.cifs 可 以 将 远程 服务 器 分 享 出 来 的 目录 整 
个 给 他 挂 载 到 


本 机 的 挂 载 点 ， 如 此 一 来 ， 远程 服 务 融 的 目 永 惑 好 像 在 我 们 本 机 的 一 


个 分 割 槽 一 样 喔 ! 


可 以 直接 执行 复制 、 编 辑 等 动作 ! 这 可 就 好 用 的 多 了 ! 底下 我 们 来 谈 


一 谈 怎 么 用 这 个 


mount.cifs WE ! 

[root@clientlinux ~]# mount -t cifs WIP/ 分享 资 源 / 挂 载 点 [-o options] 
选项 与 参数 : 

-0 后 面 接 的 参数 (options) 常用 的 有 底下 这 些 : 
username= 你 的 登入 账号 : 例如 username=smb1l 
password= 你 的 登入 密码 : 需要 与 上 面 username 相对 应 啊 ! 
iocharset= 本 机 的 语系 编码 方式 ， 如 big5 或 utf8 等 等 ; 
codepage= 远 程 主机 的 语系 编码 方式 ， 例 如 繁体 中 文 为 cp950 

# 范例 一 : 以 smb1 的 喘 份 将 其 家 目录 挂 载 至 /mnt/samba 中 
[root@clientlinux ~]# mkdir /mnt/samba 


[root@clientlinux ~]# mount -t cifs //192.168.100.254/smb1 /mnt/samba 


\ 

> -0 username=smb1,password=4321,codepage=cp950 
[root@clientlinux ~]# df 

文件 系统 1K- 区 段 已 用 可 用 已 用 % 挂 载 后 


//192.168.100.254/smb1/ 


7104632 143368 6606784 3% /mnt/samba 


经 由 mount 的 动作 ， 我 们 就 可 以 轻易 的 将 远程 分 享 出 来 的 吃 吃 给 他 挂 
载 到 目 己 Linux 


本 机 上 面 ! 好 用 的 很 一 更 详细 的 mount 用 法 ， 请 man mount! 
0D 
nmblookup: 查询 NetBIOS name 与 IP 及 其 他 相关 信息 


现在 我 们 可 以 透 过 一 些 NetBIOS 相关 的 功能 来 取得 NetBIOS name ， 不 
过 ， 如 果 


你 还 林 息 要 知道 这 个 NetBIOS name 的 其 他 信息 时 ， 例 如 IP、 分 享 的 资 
源 等 等 ， 那 可 以 


使 用 nmblookup 这 个 指令 来 搞定 即 可 。 他 是 这 么 使 用 的 : 
[root@clientlinux ~]# nmblookup [-S] [-U wins IP] [-A IP] name 
选项 与 参数 : 

: 除了 查询 name 的 卫 之 外 ， 永 会 找 出 该 主机 的 分 享 资源 与 MAC 


-U : 后 面 一 般 可 接 Windows 的 主要 名 称 管理 服务 器 的 卫 ， 可 与 -R 互 


-R: 与 -U 互 用 ， 以 Wins 服务 器 来 查询 某 个 Netbios name; 

-A : 

相对 于 其 他 的 参数 ，-A 后 面 可 接 卫 ， 

藉 IP 来 找 出 相对 的 NetBIOS 数 

据 ; 

net.qiang@Ohotmail.com 

# 范例 一 : 藉 由 192.168.100.254 找 出 vbirdserver 这 部 主机 的 IP 地 址 
[root@clientlinux ~]# nmblookup -U 192.168.100.254 vbirdserver 
querying vbirdserver on 192.168.100.254 


192.168.100.254 vbirdserver<00> 


192.168.1.100 vbirdserver<00> <== 之 前 鸟 哥 就 说 有 两 个 IP 嘛 ! 俺 的 主 
机 ! 

# 范例 二 : 找 出 vbirdserver 的 MAC 与 IP 等 信息 : 

[root@clientlinux ~]# nmblookup -S vbirdserver 

querying vbirdserver on 192.168.100.255 <== 在 区 网 内 广播 开始 找 ! 
192.168.100.254 vbirdserver<00> <== 找 到 IP 中! 

Looking up status of 192.168.100.254 

VBIRDSERVER <00> - B <ACTIVE> 

.. MSBROWSE_. <01> - <GROUP> B <ACTIVE> 


VBIRDHOUSE <00> - <GROUP> B <ACTIVE> 


回 
smbtree: 网 络 上 的 廊 邻 浏览 絮 显 示 模 式 ! 


如 果 你 想 要 使 用 类 似 Windows 上 面 ， 可 以 一 看 就 明了 各 个 网 芳 所 分 享 
的 资源 时 ， 


你 能 使 用 smbtree 来 直接 查询 喔 ! 这 个 指令 更 简单 ! 直接 输入 束 能 
用 : 


[root@clientlinux ~]# smbtree [-bDS] 

选项 与 参数 : 

-b : 以 广播 的 方式 取代 主要 浏览 器 的 查询 

-D : 仅 列 出 工作 组 ， 不 包括 分 享 的 资源 

-S : 

a 出 工作 组 与 该 工作 组 下 的 计算 机 名 称 (NetBIOS) 不 包括 各 项 资源 目 


# 范例 一 : 列 出 目前 的 网 芳 树 状 相 天 图 
[root@clientlinux ~]# smbtree 

Enter root's password: <== 直 接 按 [Enter] 即 可 |! 
WORKGROUP 

NWIN7-PC 

VBIRDHOUSE 

NWINXP 


cli_start_connection: failed to connect to WINXP<20> (0.0.0.0). 


NVBIRDSERVER This is vbird's samba server 
\VBIRDSERVER\HP_LaserjJet_P2015_Series HP LaserJet 
P2015 Series 

\VBIRDSERVER\IPCS$ IPC Service (This is vbird's 
samba server) 

\VBIRDSERVER\print$ Printer drivers 
net.qiang@Ohotmail.com 

\VBIRDSERVER\project smbuser's project 
[root@clientlinux ~]# Smbtree -9 

Enter root's password: 

WORKGROUP 

NWIN7-PC 

VBIRDHOUSE 

NWINXP 

NVBIRDSERVER This is vbird's samba server 

# 此 时 仅 有 工作 组 与 计算 机 名 称 而 已 呢 ! 

0 

smbstatus: 观察 SAMBA 的 状态 


其 实 这 个 指令 算是 服务 絮 的 相关 功能 啦 ! 因为 它 主 要 的 目的 是 查阅 目 
前 SAMBA 有 


多 少 人 来 联机 ， 且 哪些 资源 共享 已 经 被 使 用 等 等 的 信息 。 所 以 如 果 你 
想 要 使 用 这 个 软 


件 ， 请 先 安装 samba 喔 ! 简单 用 法 如 下 : 
[root@www ~]# smbstatus [-pS] [-u username] 
选项 与 参数 : 

-p : 列 出 已 经 使 用 SAMBA 联机 的 程序 PID ; 
-S : 列 出 已 经 被 使 用 的 资源 共享 状态 ; 

-u : 只 列 出 某 个 用 户 相 关 的 分 享 数据 

# 范例 一 : 列 出 目前 主机 完整 的 Samba 状态 


[root@www ~]# smbstatus 

Samba version 3.5.4-68.el6_0.2 

PID Username Group Machine 

5993 smb1 smb1 _ ffff_192.168.100.10 
(::ffff:192.168.100.10) 

5930 Smb1 smbl1 win7-pc 
(::ffff:192.168.100.30) 

# 上 半 部 主要 在 列 出 目前 联机 的 状态 中 ， 
主要 来 目 那 个 客户 只 机 硕 与 登入 的 用 
户 名 


Service pid machine Connected at 

IPC$ 5930 win7-pc Fri Jul 29 15:56:03 2011 

project 5930 win7-pc Fri Jul 29 15:59:25 2011 

smb1 5993 _ ffff 192.168.100.10 Fri Jul 29 16:32:45 2011 


# 这 部 分 则 显示 出 ， 目 前 有 儿 个 目录 被 使 用 了 ? 那个 smbl 代表 
/IP/smb1/ 
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0 
名 
喔 ! 


0 以 透 过 这 个 小 程序 来 了 解 到 目前 有 多 少 人 使 用 你 的 SAMBA 的 
六 | 


16.4 以 PDC 服务 器 提供 账号 管理 


我 们 在 161.5 约略 谈 过 PDC 这 个 玩 刘 儿 ， 他 可 以 让 用 户 在 计算 机 教室 
任何 一 


个 地 方 ， 都 用 同一 组 账号 密码 登入 ， 并 可 取得 相同 的 家 目录 等 数据 
这 与 我 们 之 前 谈 


到 的 ， 在 Linux 底下 使 用 NIS 搭配 NFS 是 很 类 似 的 作法 ! 只 是 它 是 用 
在 Windows 上 


头 就 是 了 。 那 如 何 完成 呢 ? 我 们 抵 下 束 来 谈 谈 这 个 玩意 儿 ! 人 人 
16.4.1 让 Samba 管理 网 域 使 用 着 的 一 个 实 作案 例 


前 面 介 绍 的 内 容 都 是 属于 Peer/Peer 的 联机 状况 ， 也 就 是 Samba 服务 器 
与 


Windows 客户 端 其 实 是 平等 地 位 的 啦 ! 所 以 Windows 客户 端 需要 知道 
Samba 服务 右 


内 的 账号 密码 数据 后 ， 才 能 够 顺利 的 使 用 Samba 的 资源 。 不 过 ， 这 样 
的 方式 在 较 大 型 


一 些 的 局 域 网 络 环境 可 能 就 会 有 点 困扰 ， 例 如 学 校 的 环境 。 


举例 来 说 ， 如 果 你 有 一 个 计算 机 教室 里 面 有 50 部 Windows XP Pro. 的 
个 人 计算 


机 ， 由 于 计算 机 教室 大 家 都 会 使 用 ， 因 此 里 面 这 50 部 个 人 计算 机 有 使 


也 束 旦 每 次 计算 机 重新 局 动 后 整个 操作 系统 束 会 还 原 成 原本 的 样子 。 
但 我 们 知道 使 用 


者 总 是 需要 有 个 人 家 目录 吧 ? 他 们 总 不 希望 这 次 的 工作 在 重新 局 动 后 
束 失 去 了 一 所 以 


我 们 可 以 利用 一 部 主机 来 让 他 们 储存 数据 啊 ! 那 就 是 Primary Domain 
Controller (PDC) 


服务 紫 。 


其 实 Samba PDC 的 作用 很 简单 ， 束 是 让 Samba PDC 成 为 整个 局 域 网络 
的 领域 管理 


员 (domain controller)， 然 后 让 Windows 主机 加 入 这 个 领域 ， 未 来 使 用 
者 利用 


Windows 登入 时 ，(1)Windows 会 前 往 PDC 服务 器 取得 用 户 的 账号 密 
人 码 ， 同 时 (2)PDC 


还 会 传送 用 户 的 重要 数据 到 那 部 Windows 个 人 计算 机 上 ， 而 Windows 
计算 机 上 的 用 户 


注销 时 ， (3) 该 用 户 修 改过 的 数据 也 会 回 传 给 PDC“。 如 此 一 来 不 管 这 个 
使 用 者 在 哪 一 


部 个 人 计算 机 上 面 登 入 ， 他 都 能 够 取得 正确 的 个 人 资料 ! 很 棒 的 作用 
吧 ! 


PDC 是 个 很 复杂 的 环境 ， 他 可 以 达到 的 功能 相当 的 多 ， 而 且 密 码 的 验 
证 也 不 必 在 同 


一 部 PDC 主机 上 面 ， 不 过 这 里 我 们 不 谈 那么 复杂 的 东西 ， 只 是 做 一 个 
简单 的 练习 ， 因 


此 底下 的 这 部 PDC 使 用 Linux 目 己 的 密码 来 进行 验证 ， 并 且 也 只 管理 
自己 所 分 享 出 


去 的 资源 虽 ! 至 于 假设 网 络 环境 与 相关 工作 组 参数 如 下 : 
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PDC 的 主要 内 容 : 
1. domain: vbirdhouse 
2. servername: ybirdseryer 
3. 信任 主机 : vbirdwinxpS5 vbirdwin7S$ … 
4. 信任 使 用 者 : root dmtsai nikky … 
5. 至 少 所 希 要 分 享 资源 : 
netlogon, profile, 使 用 者 家 目 录 


Domain: vbirdhose 
User: 本 机 讽 domain 


vbirdwin7 vbirdwinxp 


名 
图 16.4-1、 一 个 简易 的 PDC 实 作案 例 相 关 参 数 示意 图 


整个 基本 的 设 定 流程 应 该 是 这 样 的 : 


0 区 网 计算 机 环境 设 呈 :整体 网 域 设 定好 ， 尤 其 Windows 的 工作 组 与 
计算 机 


名 称 及 IP 等 参数 ; 
0 PDC 设 定 : 因为 PDC 管理 目 己 的 密码 ， 所 以 security = user; 
0 PDC 最 好 拥有 整个 网 域 的 名 称 解析 权力 ， 亦 即 成 为 主要 的 名 称 解析 


口 


缉 


》 


需 有 netlogon 资源 共享 ， 提 供 windows 2000/XP pro. 客户 端的 登入 之 


中 ” 酒 口 


由 于 Windows 需 读 入 个 人 配置 文件 ， 默 认 目 录 为 profile，Linux 系统 


粥 


预先 设 定 此 目录 

0 增加 PDC 上 的 使 用 者 账号 以 及 机 器 代码 (machine accounb 等 等 
0 在 Windows 2000/XP pro. 个 人 计算 机 上 设 定 成 为 PDC 的 客户 端 。 
的 下 咀 们 就 来 依 序 处 理 处 理 先 ! 

16.4.2 PDC 服务 句 的 建 置 


PDC 服务 器 的 建立 非常 的 麻烦 ， 需 要 一 步 一 步 的 实 作 进行 ， 挺 讨厌 
的 。 而 且 ， 由 于 


建 置 PDC 的 环境 主要 在 管理 整个 区 网 内 的 Windows 计算 机 ， 因 此 每 痢 
Windows 计算 


机 的 主机 名 与 相关 参数 要 先 确定 下 来 ， 如 同上 一 小 节 的 图 示 内 ， 每 部 
计算 机 的 角色 定 
位 都 需要 清楚 才 行 。 清 楚 了 各 个 计算 机 的 角色 后 ， 接 下 来 束 能 够 慢 慢 
的 实 作 进 行 哆 | 


图 
1. 建 置 NetBIOS 与 IP 对 应 的 数据 : 设 定 Inhosts 与 /etc/hosts 


由 于 我 们 的 Samba 即将 成 为 整个 网 域 的 名 称 解析 着 ， 因 此 你 最 好 将 整 
个 网 域 的 


NetBIOS name 与 IP 的 对 应 写 入 Imhosts 档案 当中 。 如 果 你 的 区 网 是 以 
DHCP 发 放 


net.qiang@Ohotmail.com 


IP 的 ， 那 么 你 最 好 搭配 DNS 系统 去 建 置 你 的 主机 名 对 应 信息 ， 否则 
主机 名 对 应 不 起 


来 ， 总 是 有 点 困扰 。 在 这 个 案例 中 ， 由 于 乌 哥 使 用 的 NetBIOS name 
(如 vbirdserver) 


与 主机 名 (如 www.centos.vbird) 并 不 相同 ， 因 此 这 里 建议 需要 修改 
lmhosts 才 好 。 


[root@Owww ~]# vim /etc/samba/lmhosts 

127.0.0.1 localhost <== 这 行 是 预 设 存 在 的 ， 不 要 动 他 ， 属 下 的 
请 目 行 新 增 

192.168.100.254 vbirdserver 

192.168.100.10 vbirdlinux 

192.168.100.20 vbirdwinxp 

192.168.100.30 vbirdwin7 

[root@www ~]# vim /etc/hosts 


192.168.100.254 www.centos.vbird vbirdserver 


192.168.100.10 clientlinux.centos.vbird vbirdlinux 
192.168.100.20 vbirdwinxp 
192.168.100.30 vbirdwin7 


由 于 Linux 上 的 Samba 很 多 数据 还 是 与 TCP/ 的 主机 名 有 关 ， 所 以 除 
了 lmhosts 


之 外 ， 建 议 还 是 处 理 一 下 /etc/hosts 比较 妥当 ! 这 样 就 行 啦 ! 
2. 建 置 PDC 主 设 定 : 处 理 smb.conf 


假设 我 们 要 让 PDC 客户 端 登入 时 可 以 取得 他 上 自己 的 家 目录 ， 那 么 需要 
这 样 处 理 ; 


[root@www ~]# vim /etc/samba/smb.conf 

[globalj 

workgroup = vbirdhouse <== 请 务必 确认 一 下 工作 组 与 主 
机 各 

netbios name = vbirdserver 

server string = This is vbird's samba server 

unix charset = utf8 

display charset = utf8 

dos charset = cp950 

log file = /var/log/samba/log.%m 


max log size = 50 


security = user 

passdb backend = tdbsam 

load printers = yes 

cups options = raw 

net.giang@hotmail.com 

printcap name = cups 

printing = cups 

# 与 PDC 有 关 的 一 些 设 定 值 : 

# 的 下 几 个 设 定 值 处 理 成 为 本 局 域 网 络 内 的 主要 名 称 解析 履 


preferred master = yes 

domain master = yes 

local master = yes 

wins support = yes 

# 操作 系统 (OS) 等 级 越 高 才能 成 为 主 网 域 的 控制 者 ， 一 般 NT 为 
32， 


# Windows 2000 为 64 ， 所 以 这 里 我 们 设 定 高 一 点 ， 但 不 可 超过 255 


os level = 100 
# 底下 则 是 设 定 能 否 利用 PDC 登入 ， 且 登入 需要 进行 哪些 动作 : 
domain logons = yes 


logon drive = K: <== 登 入 后 家 目录 挂 载 成 


Windows 哪 一 槽 
logon script = startup.bat <== 每 个 使 用 者 登入 后 会 自动 执 
行 的 程序 


time server = yes <== 目 动 调整 Windows 时 间 与 


Samba 同步 
admin users = root <== 预 设 的 管理 员 账 号 ! 预 设 为 
root 


logon path = \%N\%U\profile <== 使 用 者 的 个 人 化 设 定 


logon home = \%N\%U <== 用 户 的 家 目录 位 置 ! 
# 这 个 在 指定 登入 者 能 够 进行 的 工作 ， 里 面 主要 是 具有 许多 执行 程序 : 
[netlogon] <== 与 前 面 的 logon script 有 关 ， 该 程序 放置 在 这 里 


comment = Network Logon Service 


path = /winhome/netlogon <== 重 要 的 目录 ， 要 自己 建立 才 


1 

writable = no 

write list = root 
follow symlinks = yes 
guest ok = yes 


[homes| 


…( 夺 下 保留 原本 设 定 )..… 


[root@www ~]# testparm 

[root@www ~]# /etc/init.d/smb restart 
[root@www ~]# /etc/init.d/nmb restart 
net.giang@hotmail.com 

上 面 的 设 定 有 几 个 地 方 比较 有 趣 一 点 : 


[time server: 要 使 Samba 与 Windows 主机 的 时 间 同 步 ， 使 用 这 个 项 

目 ; 

D logon script: 当 使 用 者 以 Windows 客户 端 登 入 后 ，Samba 可 以 提供 一 
文 

批 处 理 文件 ， 让 使 用 者 去 设 定好 他 们 目 己 的 目录 配置 。 整 个 配置 的 内 
容 记 杂 在 


startup.bat 当中 。 你 要 注意 的 是 ， 这 个 startup.bat 档 名 可 以 随意 更 改 ， 
不 


过 他 必须 要 放置 到 [netlogon] 所 指定 的 目录 内 : 

Dlogon drive: 那么 这 个 家 目录 要 挂 载 到 那个 分 割 槽 ? 在 Windows 砍 

多 以 C, D, EE... 做 为 磁 一 的 代号 ， 你 这 里 可 以 指定 一 下 家 目 孙 要 放置 成 

为 那个 

磁 弄 代号 ; 

D admin users: 指定 这 个 Samba PDC 的 管理 员 壬 份 。 

0 [netlogon]: 指定 利用 网 络 登 录 时 首先 去 查询 的 目录 资源 。 

Dlogon path: 用 户 登 入 后 ， 会 取得 的 环境 设 定数 据 在 哪 ? 我 们 知道 用 
2 


2 


有 一 堆 环 境 数 据 ， 例 如 桌面 等 ， 这 些 东 西 都 放置 到 这 里 来 。 使 用 的 变 
量 中 ，%N 代 


表 PDC 服务 右 的 位 置 ，%U 则 代表 用 户 的 Linux 家 目录 。 因 此 最 终 你 
得 要 有 


~someone/profile 的 目录 才 可 以 。 
0D logon home: 用 户 的 家 目录 ， 默 认 与 Linux 的 家 目录 相同 位 置 。 
3. 建立 Windows 客户 端 登 入 时 所 需 的 设 定 数据 netlogon 目录 


先 来 建立 [netlogon] 内 所 需要 的 数据 好 了 ， 那 就 是 一 个 目录 。 由 于 鸟 哥 
预计 将 所 


有 的 PDC 数据 通通 放置 到 /winhome 当中 ， 包 括 用 户 家 目录 ， 因 此 很 
多 东西 都 需要 修 


订 喔 ! 包括 后 来 的 SELinux 肯定 会 出 问题 的 ~ 


[root@www ~l# mkdir -p /winhome/netlogon 


接 下 来 我 们 还 得 要 建立 允许 使 用 者 执行 的 档案 ， 就 是 那个 startup.bat 才 
行 ! 注意 一 


下 ， 我 们 这 里 假设 用 户 家 目 孙 为 K 槽 ， 那 你 可 以 这 样 做 : 
[root@www ~]# vim /winhome/netlogon/startup.bat 

net time \\vbirdserver /set /yes 

net use K: /home 

# 这 个 档案 的 格式 为 : net use [device:] [directory] 


# 再 将 该 档案 转 成 DOS 的 断 行 格式 才 行 ! 因为 是 提供 给 Windows 系统 
嘱 ! 


[root@www ~]# yum install unix2dos 

[root@www ~]# unix2dos /winhome/netlogon/startup.bat 

[root@www ~]# cat -A /winhome/netlogon/startup.bat 

net time \\vbirdserver /set /yes^M$ 

net use K: /home^M$ 

net.giang@hotmail.com 

# 瞧见 吗 ? 会 多 出 个 奇怪 的 和 M 符号 ， 那 殉 是 Windows 断 行 字符 。 
[ 

4. 建立 Windows 专用 的 使 用 者 


因为 鸟 哥 预计 将 使 用 者 全 部 挪 到 /winhome 底下 ， 而 且 每 个 用 户 家 目录 
应 该 还 要 有 


profile 目录 存在 才 行 ， 为 了 避免 磋 烦 ， 所 以 我 们 先 到 /etc/skel 去 处 理 
= 


才 建 立 账 号 ， 最 后 才 产 生 samba 用 户 吧 ! 产生 samba 用 户 可 以 使 用 
pdbedit 也 能 够 


直接 使 用 smbpasswd -a ， 因 为 没有 要 用 特殊 的 参数 ， 所 以 ，Samba 用 
户 就 用 旧 的 


smbpasswd 来 处 理 即 可 。 


[root@www ~]#mkdir /etc/skel/profile 
[root@www ~]# useradd -d /winhome/dmtsai dmtsai 
[root@www ~ 1]# useradd -d /winhome/nikky nikky 


[root@www ~]# smbpasswd -a root 


[root@www ~]# Smbpasswd -a dmtsai 
[root@www ~]# smbpasswd -a nikky 
[root@www ~]# pdbedit -L 
smb1:2004: 

smb3:2006: 

Smb2:2005: 

student:505: 

root:0:root 

dmtsai:2007: 

nikky:2008: 

# 重点 是 需要 有 画 底线 的 那 几 个 人 物 出 现 才 行 吻 ! 


[root@www ~]# 1 /winhome 

drwx------ .5 dmtsai dmtsai 4096 Jul 29 16:49 dmtsai 

drwxr-xr-x. 2 root root 4096 Jul 29 16:48 netlogon 

drwx------ .5 nikky nikky 4096 Jul 29 16:49 nikky 

# 用 户 的 家 目录 不 是 在 home 而 是 在 /winhome 里 头 才 是 对 的 只 ! 


那 以 后 新 增 的 使 用 着 都 有 可 以 存放 来 目 Windows 的 特殊 配置 文件 目 永 
喔 ! 比较 好 管理 


哆 一 当然 啦 ， 使 用 useradd 新 增 使 用 者 后 ， 记 得 也 要 使 用 smbpasswd -a 


username 来 


让 该 使 用 者 可 以 使 用 Samba 喔 ! 


0 
net.giang@hotmail.com 
oO 

5. 建立 机 器 码 账号 


由 于 PDC 会 针对 Windows 客户 端的 主机 名 (NetBIOS name) 进行 主机 
账号 检查 ， 


所 以 我 们 也 要 为 客户 端的 主机 名 进行 账号 的 设 定 。 距 ! 叭 是 主机 账 
号 ? 一 般 用 户 账号 


征 英 文 或 数字 ， 主 机 账 喜 则 在 该 账号 最 后 面 加 上 一 个 钱 字 号 1$J 即 
可 ! 举例 来 说 ， 


vbirdwinxp 这 部 主机 可 设 定 的 账号 名 称 为 vbirdwinxp$ 。 


而 我 们 知道 要 使 用 smbpasswd 增加 的 使 用 者 必须 要 在 /etc/passwd 当 
中 ， 因 此 要 


建立 这 个 账号 你 就 得 要 这 样 做 : 
[root@www ~]#useradd -M -s /sbin/nologin -d /dev/null vbirdwinxp$ 


[root@www ~]# useradd -M -s /sbin/nologin -d /dev/null vbirdwin7$ 


会 增加 -M -s -d 等 参数 的 原因 是 因为 不 想 要 让 这 个 账号 具有 可 以 登入 的 
权限 ， 因 此 


将 这 个 主机 账号 设 定 的 比较 怪 一 点 盖 和 人 人 一 接 下 来 让 Samba 知道 这 个 
账号 古 主 机 账号 ， 


所 以 你 应 该 要 这 样 做 : 


[root@www ~]# smbpasswd -a -m vbirdwinxp$ 


[root@www ~]# smbpasswd -a -m vbirdwin7$ 


这 样 便 加 入 主机 账号 虽 ! 而 我 们 的 Samba PDC 也 就 可 以 透 过 『 主 机 账 
号 来 判断 


Windows 客户 端 能 否 连 上 来 ， 若 连接 上 PDC 与 Windows 客户 端 后 ， 
接 下 来 一 般 使 用 


者 账号 就 可 以 在 windows 客户 端 登 入 了 ! 
吕 
6. 修改 安全 性 相关 数据 


由 于 我 们 建立 的 账号 目录 在 /winhome 底下 ， 并 非 正 规 的 CentOS 目 
隶 ， 所 以 最 重 


要 的 SELinux 可 能 会 跑 挥 ~ 所 以 ， 我 们 还 得 要 修订 SELinux 才 行 ! 方 
法 很 简单 ， 将 


SELinux type 转 为 samba_share t 即 可 ! 
[root@www ~]# chcon -R -t samba_share_t /winhome 


由 于 SELinux 的 数据 是 会 继承 上 层 目 永 的 ， 因 此 未 来 新 增 的 用 户 ， 理 
论 上 ， 束 不 需要 


重新 修订 SELinux 的 文件 类 型 了 。 但 是 ， 如 果 你 老 是 发 现 登 入 PDC 的 
账号 却 无 法 取 


得 家 目 孙 ， 那 么 就 观察 /var/log/messages 内 的 资料 来 修订 吧 | 


16.4.3 Wimdows XP pro. 的 客户 端 
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和 统 内 容 四 加 
一 般 | 电脑 名 征 | 请 他 “| 涝 阶 ”| 条 入 渤 原 | 自动 更 新 | 带 端 ”| 
Bl: Windows 使 用 下 列 资讯 在 机 路 上 识别 勺 的 重 胶 。 


志 腾 撕 述 中) | | 
例如 : " 容 麻 的 重 胶 " 或 "大明 的 备 腹 "< 


工作 群 组 : YEBIRDHOUSE 
如 果 您 要 使 用 罗 路 识别 精 权 来 加 入 襟 域 让 建立 本 机 | 柱 路 识别 QD) 


使 用 者 帐户 ， 请 按 [ 秽 踢 识别 ] * 


RS 请 按 


请 注意 ， 底 下 的 方法 仅 适 用 于 Windows 2000, Windows XP 专业 版 
(Pro.)， 一 般 


的 Windows XP home 版 本 是 不 支持 的 ! 如 果 你 客户 端的 主机 是 随机 版 
的 Windows XP ， 


通常 是 Windows XP home ， 那 底下 的 方法 可 能 就 无 法 适用 虽 ! 要 连接 
上 Samba PDC 的 


过 程 也 是 挺 简单 的 ， 你 可 以 这 样 做 : (至 于 Windows 7 对 于 Samba 的 版 
本 要 求 较 高 ， 


官方 网 站 是 说 得 高 于 3.3.x 以 上 版 本 才 有 支持 ) 
0 
1. 确认 windows 客户 端的 网 域 与 主机 名 


首先 我 们 必须 要 确认 Windows 客户 端的 工作 组 与 主机 名 跟 咀 们 的 
Samba PDC 相 


同 ， 确认 的 方式 在 局 域 网 络 里 面 已 经 提 过 了 ， 这 里 在 强调 一 次 。 将 加 
标 移 动 到 『 我 的 


计算 机 」 上 面 ， 按 下 右键 ， 选择 『 内 容 」， 然 后 点 选 『 计 算 机 名 
称 」， 会 出 现 如 下 图 


示 : 
图 16.4-2、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


如 上 图 所 示 ， 你 要 先 确认 篆 尖 1 处 指 的 主机 名 与 工作 组 ， 在 我 们 这 个 
案例 当中 的 


工作 组 为 vbirdhouse， 这 部 Windows 主机 的 NetBIOS 名 称 则 为 
vbirdwinxp 喔 ! 如 


条 不 对 的 话 ， 请 按 下 『 变 更 4 来 设 定 ， 并且 重新 局 动 。 重 新 启动 完毕 
后 再 到 上 图 的 画 


面 当中 ， 按 下 箭头 2 所 指 的 网 络 识别 处 。 
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使 用 者 帐户 和 手 域 音 寻 
使 用 者 帐户 可 以 恋 您 存 取 宰 路 上 的 档案 和 袜 源 * 


二 入 你 的 Windows 使 用 者 帐户 和 移 域 音讯 * 如 果 趟 知道 此 实 讯 ， 请 洽 询 您 的 阐 
路 系 祝 答 理 员 * 


使 用 者 名 帮 占 ): Jroot 填 入 Smb. conf 的 admuser 


移 域 四 )， |YBIRDHOUSE| 填 入 Samba 工 作 群 组 | 


R 


< 上 二 步 加 ) 取消 


0 
2. 设 定 主机 名 与 域名 


接 下 来 我 们 要 设 定 这 部 Windows XP pro. 要 链接 到 局 域 网 络 上 的 哪 部 
PDC 上 面 ， 


亦 即 是 处 理 主机 账号 以 及 Samba PDC 负责 的 网 域 (domain) 啦 ! 在 图 
16.4-2 按 下 『 网 


络 识别 4 后， 分 别 在 出 现 的 窗口 当中 选择 : 
1. 下 一 步 ; 


2. 这 台 计 算 机 是 公司 网 络 的 一 部 份 ， 而 且 我 在 工作 时 用 来 联机 到 其 他 
计算 机 


(DD) 
3. 我 的 公司 使 用 一 或 多 个 网 域 的 网 络 (C) 


一 步 


sw 


4. 下 
然后 就 会 出 现 如 下 的 窗口 : 
图 16.4-3、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


请 依 序 填写 Samba 主机 上 面 的 管理 员 账 号 与 密码 ， 要 注意 这 个 密码 是 
记录 于 


Samba 中 的 那个 ， 可 不 是 /etc/shadow 喔 ! 别 摘 混 了 一 这 是 Samba 服务 
句 的 设 定 呢 。 


输入 之 后 按 下 一 步 吧 ， 通 常 都 会 出 现 找 不 到 正确 主机 的 画面 ， 如 下 所 
小 : 


net.giang@hotmail.com 
抽 路 惑 别 靖 址 


重 腹 拉 域 
您 的 量 脐 也 必须 属於 某 一 个 袜 域 > 


本 indows 在 YBIRDHOUSE 找 和 不 到 您 电脑 的 帐户 > 
请 二 入 你 的 电脑 名 秋 和 所 属 袜 域 * (可 能 和 您 登 人 的 网 域 不 是 同一 个 ) * 


生 脑 名 稍 (0) 。 ”|YBIRDWINXPF 。 此 电脑 的 NetBIOS name 


量 脆 攀 域 中 ): |YBIRDHOUSE| ”等 待 加 入 的 Samba 央 域 


fT- 步 D> 取消 


熏 域 使 用 者 名 苦 和 窗 三 
」 请 输入 可 以 加 入 绞 域 的 帐户 名 类 及 密码 * 
使 用 者 名 称 (0): | root 
密码 全 ): | 冰冰 来 水 
拼 域 DY: | YBIRDHOUSE| | 


取消 


图 16.4-4、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


乌 哥 也 觉得 很 奇怪 ， 老 是 告诉 我 找 不 到 ! 不 过 没有 关系 ， 这 里 我 们 依 
旧 再 填 一 次 主 


机 的 NetBIOS name 以 及 组 名 ， 如 上 图 所 示 ， 然 后 继续 按 下 一 步 ， 整 
会 出 现 如 下 的 画 


面 啦 : 
图 16.4-5、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


这 次 融 给 他 输入 正确 的 管理 员 账 号 与 密码 ， 记 得 最 后 面 的 网 域 吏 是 工 
作 组 名 称 ， 别 


写 错 了 。 处 理 完毕 后 给 他 按 下 确定 吧 ! 然后 束 会 出 现 如 下 画面 : 


net.giang@hotmail.com 


揣 路 惑 别 靖 址 


使 用 者 帐户 
您 可 以 新 增 使 用 者 到 此 电脑 * AP 


将 使 用 者 加 到 二 台电 脑 ' 该 使 用 者 就 可 以 使 用 此 电脑 所 有 的 资源 以 及 多 路 上 所 
有 共用 的 彰 源 * 


请 输入 您 的 移 路 使 用 者 帐户 宰 讯 :或 者 输入 移 路 上 其 他 使 用 者 的 帐户 宜 讯 * 


O 〇 新 增 下 列 使 用 者 凶 ): 


使 用 者 名 区 ( 


i 
圳 用 只 宰 场 ,| 


Dammatgao 


束 迎 使 用 页 indows 


Copyright © 1985-2001 
Microsoft Corporation 


宕 >| 匡 接 cu-AltDel 有 开始。 


在 句 动 时 要 求 过 个 密码 组 ， 可 以 恋 米 的 电脑 更 安全 
请 按 [ 襄 明 ] 了 解 详 引资 讯 * 


图 16.4-6、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


茶 喜 你 ， 这 就 表示 已 经 连接 上 Samba PDC 嘿 ! 我 们 希望 所 有 的 使 用 者 
都 直接 由 


Samba PDC 探 管 ， 所 以 这 里 请 填写 『 此 时 不 新 增 使 用 者 」 吧 ! 按 下 一 
J 


0 


3. 重新 启动 并 以 新 的 域名 登入 
在 图 16.4-6 之 后 请 重新 启动， 开机 后 整个 画面 会 有 点 类 似 这 样 : 


图 16.4-7、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


为 了 保护 我 们 的 系统 ， 因 此 得 要 按 下 [ctrl]+[alt]j+[del] 三 个 组 合 按键 
XS 


后; 才 会 
出 现 如 下 的 登入 画面 : 
net.giang@hotmail.com 
登入 到 indows 


Copyright © 1985-2001 = Professional 
Microsoft 


Corporation 


使 用 者 名 条 四 )， 
密码 外 ) 村 
登 人 到 已): YBIRDHOUSE 


YEIRDHOUSE 
YBIRDWINXP 几 [ 电 及 


cH 


也 


| 


49 
nl 


的 浊 允 
| 


正 
过 
UE < 
或 
持 


,上当 


忠 蝎 和 站 片 测 计 
光田 渤 破 襄 模 


和 托 | 饼 时 间 : 18 


图 16.4-8、Windows 客户 端 连 上 PDC 的 方式 流程 示意 图 


目前 系统 上 面 束 会 有 两 个 可 选择 的 账号 管理 模式 ， 一 个 是 本 机 账号 一 
个 是 PDC 提 


供 的 账号 ， 那 我 怎 知 登入 着 足 哪个 管理 模式 ? 所 以 你 束 得 要 按 下 上 述 
画面 的 【选项 ， 


才 会 出 现 『 有 登入 到 4 的 那 一 行 效 据 。 出 现 的 两 个 数据 分 别 是 


0 VBIRDWINXP( 此 计算 机 )， 这 就 是 你 的 计算 机 名 称 ， 亦 即 是 以 本 机 
账号 登入 ; 


0D VBIRDHOUSE: 就 是 PDC 的 workgroup 项 目 ， 透 过 PDC 的 账号 来 
尝试 登入 。 
现在 请 输入 你 在 Samba PDC 上 面 拥 有 的 账号 与 密码 来 尝试 登入 吧 ! 那 
如 果 你 输入 


的 账号 密码 是 对 的 ， 却 发 现 如 下 的 画面 时 ， 肯定 是 某 些 档案 权限 或 者 
是 SELinux 设 定 


背 误 ! 请 参考 /var/log/messages 或 /var/log/samba/* 里 面 的 登录 档 来 修 
改 ! 


图 16.4-9、 使 用 PDC 账号 登入 却 发 现 权 限 错误 的 图 示 
0 
4. 观察 用 户 的 家 目录 与 配置 文件 


net.qiang@Ohotmail.com 


Mr dmtai 训 Thisisvbirds samba server (Whbirdserven ee 
档案 巴 ”编辑 巴 ) ” 梳 视 人 名) 我 的 最 要 凶 ) 工具 加 ”说 明生 ) 


Ot :| ax [I 

移 址 耳 ) | 妥 Ra 

资料 严 x 

区 条 国 profile 
曙 加 我 的 文件 


日 是 我 的 电脑 
日 ep 本 楼 磁 碟 (C3) 


HD) Documents and Settings ] 

(DD Program Files 

HD WINDOWS 9 
学 光碟 楼 人 D;) 


Se nn A This is vbird's samba server (vbirdserver)' (KE:) 


二 x + 


na 


'@ 
8 荔 
条 焉 

FF 沁 

卫 

进 

六 


如 果 你 可 以 顺利 登入 的 话 ， 打 开 档 案 总 管 后 应 该 可 以 看 到 类 似 下 方 的 
画面 : 


图 16.4-10、 登 入 PDC 后 ， 取 得 的 家 目录 状态 


呵呵 ! 该 过 上 的 通通 连结 上 来 哆 ! 你 也 可 以 在 自己 的 家 目录 (K 槽 ) 新 
增 移 除数 据 


的 ! 是 否 很 不 错 啊 ! 和 人! 而 当 你 注销 之 后 ， 你 在 Windows 果 面 上 类 
所 进 # 行 的 各 项 个 


人 化 设 定 通通 会 被 移动 到 /winhome/dmtsai/profile 当中 喔 ! 如 果 不 相 信 
的 话 ， 请 自 


行 前 往 Samba 服务 器 上 头 瞧 一 瞧 就 知道 了 
16.4.4 Wimdows 7 的 客户 端 


根据 SAMBA 官网 的 说 明 ， 支 持 Windows 7 的 Samba 版 本 必须 要 高 于 
93X41 ， 


还 好 ， 我 们 的 CentOS 6.x Samba 版 本 真 的 是 高 于 3.3.x 的 3.5.x， 因 此 
理论 上 是 支 


持 Windows 7 的! 只 不 过 Windows 7 要 加 入 Samba PDC 还 得 要 修改 注 
册 码 才 行 ! 这 


部 份 真 的 是 给 它 很 困扰 ! 在 windows 7 机 码 的 修改 方面 ， 主 要 是 修改 
夺 下 的 机 码 : 


#1. 这 个 部 分 是 进行 『 新 增 4 机 码 ! 


[HKEY_ LOCAL MACHINR\SYSTEM\CurrentControlSet\services\Lanma 
nWorkstation\Par 


ameters| 
“DomainCompatibilityMode”=dword:00000001 
“DNSNameResolutionRequired”=dword:00000000 


net.giang@hotmail.com 


i 3 百 |] 可 |] 
栓 宾 (月 握 验 (E) ”检视 (V) ”我 的 最 要 (A) ”说 明 (H) 


 - 国 kbdhid 员 

b -I Keylso 

i | REG_SZ 

出 KSsecpk PDNSNameResolutitpRequired REG_DWORD Ox00! 

， - 轴 wy PDomainCompatibilityMode REG_DWORD Ox00! 
| 


| Li EnablePlainTextPassword REG_DWORD Ox00! 


4. 站 LanmanWorkstation [加 到 | ict edd hd 


一 国 Linkage 引 
| NetworkProvider 中 数值 名 称 册 ): 
i Parameters 引 DomainCompatibilityMode 
,而 ldap 


国 Itdio 数值 资料 多): 底数 


im 回 十 六 进位 四 ) 
\ ee 2 tat, 
b>- 4 


ES AHKEY L LOCAL MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters 


0 


修改 的 方式 为 ， 在 Windows7 的 执行 里 面 输 入 『 regedit 」， 会 出 现 如 
下 的 画面 : 


图 16.4-11、Windows 7 注册 机 码 的 动作 


先 由 (1) 左 侧 窗 口 一 层 一 层 点 选 到 我 们 所 需要 的 目标 去 ， 然 后 (2) 观 察 最 
夺 下 的 机 


码 顺序 看 对 不 对 。 之 后 (3) 在 右 侧 窗口 点 选 我 们 所 需要 的 机 码 ， 如 有 果 是 
要 新 增 ， 那 就 是 


在 右 侧 空 日 处 右键 单 击 选 新 增 即 可 增加 一 组 机 码 名 称 。 最 后 (4) 双 击 机 
码 会 出 现 可 供 修 


改 的 窗口 ， 那 就 改 成 上 面 表 格 中 的 要 求 即 可 。 更 多 关于 Windows 7 加 
入 PDC 的 相关 数 


据 ， 请 查阅 文 末 的 参考 数据 部 分 喔 。 


等 到 将 机 码 修订 完毕 ， 你 就 可 以 使 用 与 Windows XP 相同 的 方式 来 加 入 
PDC 哆 |) 


16.4.5 PDC 之 问题 克服 


如 朱 老 是 发 生 鲁 误 讯 轧 为 了 使 用 的 帐户 是 计算 机 帐户 。 请 使 用 你 的 通 
用 用 户 帐户 或 


本 机 用 户 帐 户 来 存 取 这 人 台 服 务 絮 4 时 ， 你 可 以 这 样 做 的 : 
DD 先 察看 一 下 /var/log/samba 里 面 的 登录 文件 信息 ， 尤 其 是 
log.vbirdwinxp 天 于 这 部 主机 的 信息 呐 ; 


0 如 果 还 是 无 法 解决 ， 可 以 在 lnhosts 里 面 增加 vbirdwinxp 的 了 P 与 主 
机 


名 的 对 应 ， 然 后 将 samba 整个 关 掉 Tyetcinit.d/smb stopJ ， 等 待 一 段 时 
间 


net.giang@hotmail.com 


D 
让 NetBIOS 的 名 称 解 析 时 间 傅 时， 再 重新 启动 samba [/etc/init.d/smb 
start4 ， 然 后 再 重新 做 一 次 输入 root 的 密码 那个 动作 


在 鸟 哥 尝 试 过 的 案例 中 ， 上 面 第 二 个 步骤 挺 有 效 的 ! 不 过 ， 还 是 得 要 
察看 


/Var/log/samba 里 面 的 登录 信息 才 行 嘿 ! 
D 
一 些 Windows 账号 在 Windows 系统 上 面 的 使 用 技巧 


虽然 PDC 很 好 用 ， 不 过 你 要 注意 的 是 ， 每 次 你 使 用 PDC 上 头 的 账号 


登入 Windows 


客户 端 主机 时 ， Windows 主机 会 由 /winhome/username/profile/ 当中 加 
载 所 需要 的 


数据 ， 并 暂时 启动 一 个 文件 夹 在 Windows 系统 的 C:\Documents and 
Settings\username 当中 ， 如 采 你 的 家 目 孙 下 的 profile 数据 太 多 时 ， 光 


是 传输 就 会 
花 去 很 多 时 间 的 ! 


所 以 ， 你 应 该 将 一 些 档案 数据 放置 到 你 的 家 目 示 下， 汞 即 K 槽 当中 ， 
尽量 不 要 使 


， 人 预 设 的 【我 的 文档 夹 4， 因为 『 我 的 文档 夹 」 会 将 数据 移 
动 色 


『 /winhome/username/profile/My Documents/ 」 目 孙 下 ， 同 样 的 ， 储存 
到 蝎 面 的 数 


据 会 被 放置 到 『 /winhome/username/profile/ 桌 面 / 3 目录 中 ， 那 样 在 登 
入 与 注销 时 


会 花 去 很 多 时 间 喔 ! 这 个 小 地 方 也 要 注意 的 昵 ! 人 人 


好 了 ， 关 于 SAMBA 的 PDC 作法 我 们 吏 谈 到 这 里 ， 还 有 更 多 的 信息 你 
可 以 前 往 这 个 

章节 最 后 面 的 参考 数据 所 列 出 的 网 址 去 查阅 ， 因为 还 有 很 多 的 作法 
同上 事实 二、 : 乌 可 


觉得 在 一 个 网 域 当 中 ， 如 果 有 多 部 的 Windows NT 主机 ， 例 如 
Windows 2000/XP pro. 这 


一 类 的 比较 稳定 的 个 人 使 用 桌面 版 本 时 ， 使 用 PDC 束 很 有 用 了 ! 因为 
Windows 2000/XP 


pro. 也 是 一 个 多 人 的 操作 系统 ， 不 像 Windows 98 是 单 人 的 操作 系统 。 
所 以 ， 当 使 用 


Windows 2000/XP pro. 而 无 法 登入 PDC 时 ， 你 是 无 法 使 用 Windows 
2000/XP pro. 上 


面 的 任何 的 信息 的 。 但 是 在 Windows 98 上 面 若 无 法 正确 的 登入 ， 你 仍 
然 具 有 该 计算 


机 的 主 榨 权 喔 ! 


另外 ， 设 定 Windows 客户 只 之 前 ， 请 爷 确认 你 的 Windows 是 什么 版 
本 ? 上 述 的 


动作 对 于 Windows XP 家 用 版 (Home), Windows 7 是 没有 作用 的 ! 请 先 
确认 才 行 喔 ! 


16.5 服务 需 商 单 维 护 与 管理 


ee 正规 作法 之 外 ， 其 实 还 有 一 些 稍微 重要 的 事情 要 跟 大 家 分 
享 的 ! 


16.5.1 服务 絮 相 关 问 题 元 服 
net.giang@hotmail.com 


通常 我 们 在 设 定 SAMBA 的 时 候 ， 如 果 是 以 单一 主机 的 工作 组 
(Workgroup) 的 方式 


来 进行 smb.conf 的 设 定时 ， 几 乎 很 容易 整 可 以 设 定 成 功 了 ! 并 没有 什 
么 很 困难 的 步 又 。 


不 过 ， 万 一 还 是 无 法 成 功 的 设 定 起 来 ， 请 务必 察看 登录 档 ， 也 就 是 在 
/var/log/samba/ 


里 面 的 数据 ! 在 这 里 面 的 资料 当中 ， 你 会 发 现 : 喷 ! 怎么 这 么 多 档案 
啊 ! 因为 我 们 在 


smb.conf 里 面 设 定 了 : 
DU log file = /var/log/samba/log.%m 


那个 %m 是 指 客户 端 计 算 机 的 NetBIOS Name 的 意思 ， 所 以 ， 当 有 个 


vbirdwinxp 


的 主机 来 登入 我 们 的 vbirdserver 主机 时 ， 那 么 登入 的 信息 就 会 被 纪 杂 
在 


/varlog/samba/log.vbirdwinxp 档案 喔 ! 而 如 有 果 万 一 来 源 IP 并 没有 
Netbios name 


的 上 时候， 那么 很 可 能 是 一 些 错 误 讯 忌 ， 这 些 错误 讯息 束 会 被 纪录 到 
log.smbd, log.nmbd 


里 面 去 了 ! 所 以 ， 如 琳 你 要 察看 东部 计算 机 连 上 你 的 SAMBA 主机 发 
生 了 什么 问题 时 ， 


特别 要 留意 这 个 登录 档 的 形式 喔 ! 


另外 ， 如 果 你 的 SAMBA 明明 已 经 启动 完成 了 ， 却 偏偏 老 是 无 法 成 
功 ， 叉 无 法 但 出 


问题 时 ， 建 议 先 关闭 Samba 一 阵子 ， 再 重新 局 动 : 


[| /etc/init.d/smb stop 


在 乌 哥 过 去 的 案例 当中 ， 确 实 有 几 次 是 因为 PID 与 NetBIOS 的 问题 ， 


导致 整个 


SAMBA 怪 怪 的 一 所 以 完整 的 关闭 之 后 ， 经 过 一 阵子 的 短暂 时 间 ， 表 
重 狐 启动， 应 该 号 


可 以 恢复 正 第 了 |! 


还 有 ， 0 老 是 发 现 『 你 没有 相关 写 入 的 权 
限 ! 4 ,不 


怀疑 ， 几 乎 可 以 确定 是 Permission 的 问题 ， 也 就 是 Linux 的 权限 与 
SAMBA 开放 的 权 


限 并 不 相符 合 ， 或 者 是 SELinux 在 搞 时 ! 无 论 如 何 ， 你 必须 要 了 解 能 
不 能 写 入 Linux 


倒 盘 ， 看 的 是 PID 的 权限 与 Linxu 文件 系统 是 否 吻合 ， 而 那个 
smb.conf 里 面 设 定 的 


相关 权限 只 是 在 SAMBA 运作 过 程 当 中 【预计 4 要 给 使 用 者 的 权限 而 
已 ， 并 不 能 取代 真 


正 的 Linux 权限 喔 ! 所 以 ， 万 一 真 的 发 现 该 问题 存在 ， 请 登入 Linux 


系统 ， 查 验 一 
下 该 对 应 的 目录 的 permission 吧 ! 和信 


另外 ， 通 常 造 成 明明 已 经 查 到 分 享 (smbclient -L 的 结果 )， 却 老 是 无 法 
顺利 挂 载 


的 情况 ， 主 要 有 底下 几 个 可 能 的 原因 


D 虽然 smb.conf 设 定 正 确 ， 但 是 设 定 值 了 path 4 所 指定 的 目录 却 起 记 
建立 


了 (最 前 见 的 未 样 ! ); 


0 省。 smb.conf 设 定 为 可 擦 写 ， 但 是 目 孙 针对 该 用 户 的 权限 却 是 只 读 
或 者 是 


无 权限 ; 

0 虽然 权限 全 部 都 正确 ， 但 是 SELinux 的 类 型 却 错误 了 |! 

0 虽然 全 部 的 数据 都 是 正确 的 ， 但 是 SELinux 的 规则 (getsebool -a) 却 
没 


有 顺利 局 动 。 


上 述 都 是 一 些 单 见 的 问题 ， 更 多 问题 的 解决 方案 ， 请 参考 最 正确 的 登 
杂文 件 信 息 吧 ! 


和 人 和 


N 


net.giang@hotmail.com 
0 
16.5.2 让 用 户 修改 samba 密码 同时 同步 更 新 /etc/shadow 密码 


有 个 问题 是 ， 我 们 知道 使 用 者 可 以 透 过 passwd 修改 /etc/shadow 内 的 密 
人 码 ， 而 


且 用 户 也 能 够 目 行 以 smbpasswd 修改 Samba 的 密码 。 如 果 用 户 是 类 似 
PDC 的 用 户 ， 


那么 这 些 用 户 理 论 上 惑 很 少 使 用 Linux 啦 ! 那么 想 一 想 ， 能 否 让 用 户 
在 修改 Windows 


密码 (就 是 Samba) 时 ， 同 步 更 新 Linux 上 面 的 /etc/shadow 密码 呢 ? 管 
案 是 可 行 


的 啦 ! 而 且 动 作 并 不 困难 一 因为 smb.conf 里 头 已 经 提供 了 相对 应 的 参 
数 设 定 值 ! 你 可 


以 参考 底下 的 网 站 数据 : 


LD http://de.samba.org/samba/docs/using _samba/ch09.html 


乌 哥 做 个 总 结 ， 基 本 上 你 需要 的 是 smb.conf 里 面 [global] 的 几 个 设 定 
值 : 


[root@www ~]# vim /etc/samba/smb.conf 


[globalj 


# 保留 前 面 的 各 项 设 定 值 ， 并 新 增 抵 下 三 行 即 可 : 

unix password sync = yes <== 让 Samba 与 

Linux 密码 同步 

passwd program = /usr/bin/passwd %u <== 以 root 呼叫 修改 
密码 的 指令 

pam password change = yes <== 并 日 支持 pam 模 

抉 ! 

[root@www ~]# testparm 


[root@www ~]# /etc/init.d/smb restart 


接 下 来 ， 当 你 以 一 般 用 户 (例如 dmtsai) 修改 samba 的 密码 时 ， 就 会 像 
这 样 : 


[dmtsai@www ~]$ smbpasswd 

Old SMB password: <== 得 移 输 入 上 日 密码 ， 才 能 输入 新 密码 
New SMB password: 

Retype new SMB password: 

Password changed for user dmtsai <== 这 束 古 成 功 的 字样 ! 


# 各 出 现 确 下 的 字样 ， 应 该 束 是 你 的 密码 输入 被 限制 了 ! 例如 输入 的 密 
码 字 符 


人 
machine 127.0.0.1 rejected the password change: Error was : Password 


restriction. 


Failed to change password for dmtsai 
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0 


0 


16.5.3 利用 ACL 配合 单一 使 用 者 时 的 控 管 
想象 一 个 案例 ， 如 采 你 是 学 校 的 网 党 人 员 ， 有 个 兼任 老师 同 你 申请 账 


号 ， 主要 十 要 


在 很 多 班级 内 取得 同学 的 专题 资料 。 因 为 该 老师 是 兼任 的 ， 你 或 许 担 
小 一 ~ 小 心 该 教 


师 就 将 同学 的 伴音 资料 给 销 避 ， 倒 不 是 教师 们 故意 的 ， 而 是 很 多 时 
候 .… 不 束 嘛 ! 这 个 


时 候 如 采 你 将 该 老师 加 入 同学 的 群 组 ， 然 后 偏偏 同学 们 所 在 的 目 邓 是 
群 组 可 写 入 的 话 ， 


那么 该 教师 就 能 够 拥有 可 擦 写 的 权限 了 ， 也 束 容 易 造 成 一 些 莫 名 的 灾 
难 ~~ 


那 该 怎么 办 ? 其 实 可 以 透 过 ACL 来 管理 某 个 目录 的 单一 用 户 权 力 啦 |! 
所 以 说 ， 权 


限 的 管理 不 必 透 过 smb.conf 的 设 定 ， 只 要 透 过 ACL 来 管理 束 能 够 达到 
你 所 需要 的 目 


的 了 。 关 于 ACL 的 说 明 我 人 学 习 入 章 已 经 提 过 
了 ， 这 里 不 再 鹃 


唆 ， 请 目 行 前 往 查 阅 呐 ! 和信 


16.6 重点 回顾 


0 由 Tridgell 利用 逆向 工程 分 析 网 往 得 到 Server Message Block 协议 的 
产 


生 5 
0 Samba 名 称 的 由 来 是 因为 需 包 含 没有 意义 的 SMB server 之 故 ; 
0 SAMBA 可 以 让 Linux 与 Windows 直接 进行 文件 系统 的 使 用 ; 


0 SAMBA 主要 架构 在 NetBIOS 上 发 展 的 ， 且 以 NetBIOS over TCP/IP 
克服 


NetBIOS 无 法 跨 路 由 的 问题 ; 


0 Samba 使 用 的 daemon 主要 有 管理 分 享 权限 的 smbd 以 及 NetBIOS 解 
析 的 


nmbd 


DO Samba 使 用 的 模式 主要 有 单机 的 workgroup 方式 ， 以 及 网 域 控 管 的 
PDC 模 


也 

0 Samba 的 主 配置 文件 之 档 名 为 smb.conf 

0 smb.conf 内 ， 主 要 区 分 为 [global] 服务 器 整体 设 定 与 [share] 分 享 的 资 
源 两 大 部 分 


0 Samba 使 用 者 账号 控 管 主要 的 设 定 值 为 security = {share,user,domain} 


等 
可 


0 Samba 客户 端 可 使 用 smbclient 以 及 mount.cifs 进行 网 方 的 挂 载 
新 版 的 Samba 默认 使 用 数据 库 记 录 帐 户 信 息 ， 新 增 账 号 用 pdbedit ， 


修改 


密码 则 用 smbpasswd 
0 Samba 主要 支持 CUPS 的 打印 机 服务 器 


0D 在 权限 控 管 方面 ， 最 容易 出 错 的 为 SELinux 的 规则 与 类 型 (SELinux 
type) 


EE J 的 设 定 方面 ， 由 于 与 主机 名 相关 性 很 高 ， 建 议 设 定 lImhosts 


容 为 宜 
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0 
0 


16.7 本 章 习 题 

0 一般 来 说 ，SAMBA 使 用 的 配置 文件 放置 在 哪里 ? 档 名 为 何 ? 

使 用 的 档 名 为 smb.conf ， 通 常会 放置 在 /etc/samba/smb.conf 里 面 ， 不 
过 ， 最 好 可 以 使 用 rpm -qc packagename 来 查询 ! 

0 哪 一 个 指令 可 以 用 来 判断 smb.conf 这 个 配置 文件 的 正确 性 ? 


当 我 们 修改 完 smb.conf 之 后 ， 记 得 要 以 testparm 来 进行 samba 的 确 
认 ! 


0 哪 一 个 指令 可 以 用 来 察看 SAMBA 主机 分 享 出 什么 目录 ? 
利用 smbclient 即 可 : fsmbclient -L NetBiosName -U username 4 ! 
0 在 Linux 客户 端 挂 载 网 廊 的 文件 系统 主要 是 依据 哪个 指令 来 达成 的 ? 


就 是 透 过 mount.cifs 或 mount -t cifs 来 达成 的 ! 


我 今天 使 用 smbpasswd 去 新 增 一 位 使 用 者 badbird， 让 他 可 以 登入 我 
的 

Linux SAMBA 主机 ， 但 是 无 论 如 何 就 是 无 法 新 增 。 你 认为 原因 可 能 是 
什么 ? 


由 于 Samba 用 户 的 信息 必须 要 存在 于 /etc/passwd 里 面 ， 既 然 无 法 新 


增 ， 

应 该 先 确认 badbird 这 个 用 户 已 经 存在 于 Linux 系统 当中 了 | 
16.8 参考 数据 与 延伸 阅读 

0D 注 1: 维基 百科 对 Samba 的 来 源 与 作者 的 介绍 : 


http://en.wikipedia.org/wiki/Samba software 


http://en.wikipedia.org/wiki/Andrew Tridgell 
[| man 5 smb.conf 
L Study Area : 


http://www.study-area.org/linux/servers/linux_ samba.htm 


DO 电子 书 Using Samba: 
http://de.samba.org/samba/docs/using_samba/ch00.html 
[| Samba PDC HOWTO: 


http://us5.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba- 
Pdc. 


html 
DSAMBA 官方 网 站 :_http://www.samba.org/ 
0 杨 锦 昌 老师 的 SAMBA 密 技 : 


http://apt.nc.hcc.edu.tw/web/student server FC1.htm#samba 
net.giang@hotmail.com 

0D 依 玛 猫 的 打印 文件 :_http://www.imacat.idv.tw/tech/Inxprint.html 
0 Gentoo Linux 的 Samba 文件 : 

http://www.gentoo.org/doc/zh_ tw/quick-samba-howto.xml 

DD cupsaddsmb 用 法 : 


http://www.enterprisenetworkingplanet.com/netsysm/article.php/3621876 


DU testparm -v 
口 关 于 Windows 7 加 入 PDC 的 机 码 相 关 问 题 : 


http://www.linuxquestions.org/questions/linux-server-73/joining-a-win 


dows-7-Client-to-samba-pdc-v-3-4-3-a-815174/ 


# 2. 这 个 部 分 是 进行 『 了 修改 」 机 码 ! 不 过 ， 如 果 你 作 了 ， 会 让 你 可 加 入 
PDC., 


# 但 却 无 法 顺利 的 登入 ! 所 以 这 里 得 要 特别 注意 ! 


[HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\services\Netlog 
on\Parameters] 


“RequireSignOnSeal”=dword:00000000 
“RequireStrongKey”=dword:00000000 
2001/09/17: 好 入 以 前 曾经 完成 的 一 项 任务 人 和 ^ 


2003/07/26: 将 2001/09/17 所 写 的 内 容 做 了 大 幅度 的 修订 ， 增 加 原理 以 
及 更 多 的 设 定 


项 目 ! 


2003/09/10 : 将 PDC 部 分 补充 的 更 完整 ， 因 为 加 入 了 个 人 化 
的 Profiles 在 


/home/samba/profiles 当中 了 ! 同时 加 入 课 后 练习 喔 
2003/09/30: 加 入 了 CUPS 打印 机 的 支持 ! 


2005/10/17: Samba 2.2 在 中 文 编码 上 面 与 最 新 的 samba 3.0.x 版 本 不 
同 请 参考 : 中 


文 编码 网 友 的 详细 说 明 喔 ! 
2006/12/20: 将 旧 的 文章 移动 到 此 处 


2006/12/29: 终于 写 完 了 Samba 了 ! 将 PDC 改写 ， 很 多 乱 乱 的 地 方 都 
改 掉 了 一 


2007/04/12: 原本 对 homes 的 说 明 中 ， 那 个 umask 应 该 是 002 ， 原 先 的 
022 是 错 的 ! 


2010/06/11: 一 直 误 会 了 作者 的 名 字 ， 名 称 为 Andrew Tridgell 而 不 是 
Tridgwell ! 


抱歉 了 ! 
2011/03/18: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 


2011/03/31: 终于 搞定 了 Samba ， 光 是 实 作 就 花 去 乌 哥 大 部 分 的 时 间 了 
已 | 


全 人 条 死 


2011/07/29: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


2011/07/29: PDC 的 部 分 ， 终 于 可 以 加 入 windows7 喝 ! 开心 ! 
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最 近 更 新 日 期 : 2011/08/02 


代理 服务 人 磊 的 功能 是 可 以 代理 局 域 网 络 的 个 人 计算 机 来 同 因 特 网 取得 
网 页 或 其 他 数据 的 一 种 服务 ， 由 于 


代理 取得 的 数据 可 以 傈 存 一 份 在 服务 占 的 快 取 上 ， 因 此 以 往 有 类 似 
『 假 象 加 速 4 的 功能 ! 不 过 ， 目 前 网 


络 市 宽 已 经 比 以 前 好 很 多 ， 因此 代理 服务 器 倒是 很 少 使 用 在 这 方面 。 
取而代之 的 是 局 域 网 络 『 高 阶 防火 


省 J 的 角色 ! 这 里 的 『 高 阶 ] 指 的 是 OSI 七 层 协议 里 面 的 高 层 ， 因 为 
代理 服务 句 古 用 在 应 用 层 上 的 一 种 


防火 墙 方式 啦 ! 不 像 iptables 是 用 在 网 络 、 传 输 层 。Linux 上 局 动 代理 
服务 器 的 是 squid 这 个 软件 哟 ! 


17.1 什么 是 代理 服务 器 (Proxy) 
17.1.1 什么 是 代理 服务 路 
17.1.2 代理 服务 器 的 运作 流 


17.1.3 上 层 代 理 服 务 器 


17.4.2 Proxy 服务 放 在 N/ 


17.4.3 Proxy 的 认证 设 定 


17.6 本 章 习 题 


17.7 参考 数据 与 延伸 阅读 


17.8 针头 的 建议 :_http://phorum.vbird.org/viewtopic.php? 
f=16&t=35439 


17.1 什么 是 代理 服务 器 (Proxy) 
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Internet 


功能 


1. 叙 受 用 户 端 的 要 求 


理 何 服 咒 2. 向 移 陈 精 路 出 发 
(Proxy) 3. 存 一 份 在 折 己 的 快 取 


4. 回报 给 用 户 端 ! 


仙人 人 富 脑 个人 人 间 脑 个 人 电脑 个 人 富 脑 


代理 服务 右 (Proxy) 的 原理 其 实 很 简单 啦 ! 束 是 以 类 似 代理 人 的 吴 份 去 


取得 用 户 


所 需要 的 数据 就 是 了 ! 但 是 由 于 它 的 了 代理 」 能 力 ， 使 得 我 们 可 以 透 
过 代理 服务 紫 来 


达成 防火 墙 功能 与 用 户 剂 览 数据 的 分 析 ! 此 外 ， 也 可 以 厌 由 代理 服务 
右 来 达成 太 省 市 


宽 的 目的 ， 以 及 加 快 内 部 网 络 对 因特网 的 WWW 访问 速度 ! 总 之 ， 代 
理 服 务 器 对 于 企业 


来 说 ， 实 在 是 一 个 很 不 错 的 东西 啊 ! 
17.1.1 什么 是 代理 服务 恬 


在 真实 世界 中 ， 我 们 或 许 会 帮忙 家 人 去 办 理 一 些 洒 务 吧 ! 举 个 例子 来 
说 ， 例 如 缴费 


或 者 是 申办 提 款 卡 等 等 的 ， 由 于 你 并 不 是 『 申 请 者 本 人 J 而 是 了 代理 
人 J 的 角色 ， 因 


此 有 时 候 会 需要 秀 出 一 些 证 件 就 是 了 。 那么 在 网 络 上 面 的 代理 服务 器 


(Proxy Server) 


是 怎么 回 事 呢 ? 它 最 主要 的 功能 就 如 同 我 们 上 面 提 的 真实 世界 一样， 
当 客 户 端 有 因 特 


网 的 数据 要 求 时 ，Proxy 会 帮 用 户 去 向 目的 地 取得 用 户 所 需要 的 数据 。 
所 以 ， 当 客户 


端 指定 WWW 的 代理 服务 瑚 之后， 用 户 的 所 有 WWW 相关 要 求 束 会 通 
过 代理 服务 右 去 提取 


0 客户 端的 相关 性 可 以 由 下 图 约略 看 出 一 个 站 
多 : 


图 17.1-1、 代 理 服务 右 、 客 户 端 与 因特网 的 相关 性 示意 图 


一 般 来 说 ， 代 理 服务 器 会 架设 在 整个 区 网 的 单 点 对 外 防火 墙 上 头 ， 而 
在 区 网 内 部 的 


计算 机 就 都 古 透 过 Proxy 来 癌 因 特 网 要 求 数据 的 ， 这 吏 是 所 谓 的 『 代 
理 服 务 硕 J 啦 ! 


当然 ， 上 面 的 架构 仅 只 是 一 个 案例 ， 但 是 这 个 染 构 比较 多 人 用 的 原 
办 ， 是 因为 这 样 的 


Proxy server 还 可 以 兼 做 高 阶 防 火 圭 之 用 啦 ! 
net.giang@hotmail.com 
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在 Proxy 与 客户 端的 相关 性 当中 ， 你 必需 要 了 解 的 是 : 客户 端 向 外 部 
要 求 的 数据 


事实 上 都 是 Proxy 大 用 户 取 得 的 ， 因 此 因特网 上 面 看 到 要 求 数据 者 ， 
将 会 是 Proxy 服 

务 絮 的 IP 而 不 是 客户 端的 耳 。 举 个 例子 来 说 ， 假 如 乌 哥 在 我 的 浏览 辟 
设 定 了 我 们 学 

校 的 代理 服务 絮 主 机 proxy.ksu.edu.tw 做 为 我 的 Proxy 好 了 ， 再 假设 我 


的 IP 是 


120.114.141.51 ， 那 么 当 我 想 要 取得 Yahoo 的 新 闻 信 息 时 ， 事 实 上 ， 都 
日 
下 


proxy.ksu.edu.tw 帮 有 我 去 取得 的 ， 所 以 在 Yahoo 的 网 站 上 面 看 到 要 求 数 
据 的 人 是 谁 呢 ? 


呵呵 ! 当然 瓯 是 proxy.ksu.edu.tw 而 不 是 120.114.141.51 嗓 ! 这 样 可 以 
了 解 Proxy 


的 功能 了 吗 ? 


Proxy 还 有 一 个 很 棒 的 额外 功能 ， 那 惑 是 防火 增 的 
功能 |! 


一 下 上 面 的 图 示 ， 你 可 以 发 现 一 件 事 情 ， 那 就 是 客户 端的 个 人 计算 机 
要 连 上 因特网 一 定 


要 经 过 Proxy 服务 器 。 并 且 ， 如 果 有 人 想 要 入 侵 你 的 系统 时 ， 由 于 你 
的 proxy 在 最 外 


部 啊 ， 所 以 攻击 者 就 会 攻击 错 方 向 ， 如 此 一 来 ， 不 就 比较 安全 ! 此 
外 ， 由 于 整个 因 特 


网 对 外 都 是 经 过 proxy ， 也 整 是 『 单 点 对 外 J 的 情况 ， 这 种 状态 属 下 要 
来 管理 防火 墙 


也 是 比较 简单 的 喔 ! 入 和 
17.1.2 代理 服务 怖 的 运作 流程 


了 解 了 Proxy 的 功能 之 后 ， 我 们 来 谈 一 谈 那 么 Proxy 到 确 是 怎样 运作 的 
呢 ? 为 何 


它 会 有 T 加 快 网 络 存 取 效 率 J4 的 好 处 ? 这 就 必需 要 以 撒 下 的 图 示 来 说 
明了 ! 


图 17.1-2、 代 理 服务 右 的 运作 流程 图 快 取 数据 与 客户 端 


当 客 户 端 指 定 了 代理 服务 喜之 后 ， 在 客户 端 想 要 取得 因特网 上 面 的 信 
局 时 ， 它 是 这 


样 取得 数据 的 ( 注 : 那个 Cache 表示 为 Proxy 服务 器 的 便 盘 的 意思 ): 
D 
当 Proxy 的 快 取 拥 有 用 户 所 想 要 的 数据 时 (Step a ~ d): 
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a. Client 端 癌 Server 端 发 送 一 个 数据 需求 封包 


b. Server 端 接收 之 后 ， 先 比 对 这 个 封包 的 『 来 源 4」 与 预计 要 前 往 的 『 目 
标 J 


网 站 是 否 为 可 接受 ? 如 果 来 源 与 目标 部 是 合法 的 ， 或 者 说 ， 来 源 与 目 
标 网 站 我 


们 的 Proxy 都 能 帮忙 取得 资料 时 ， 那 么 Server 端 会 开始 替 Client 取得 
YX | [AY 


质 


这 个 步骤 中 比较 重要 的 就 是 『 比 对 政策 J4 啦 ， 有 点 像 是 认证 的 感觉 


啦 ; 


ee 首先 会 检查 目 己 快 取 (新 的 数据 可 能 在 内 存 中 ， 较 旧 的 数据 则 
放置 


人 数据 ， 如 采 有 Client 所 需 的 数据 ， 那 束 将 数据 准备 取出 ， 而 
不 经 


过 向 Internet 有 要求 数据 的 程序 

d. 最 后 当然 束 古 将 数据 回 传 给 Client 端 哆 ! 

0 

当 Proxy 的 快 取 没有 用 户 所 想 要 的 数据 时 (Step 1 ~ 5): 

1. Client 端 癌 Server 端 发 送 一 个 数据 需求 封包 ， 

2. Server 病 接 收 之 后 ， 开 始 进行 政策 比 对 ; 

和 Server 发 现 快 取 并 没有 Client 所 需要 的 资料 ， 准 备 前 往 因 特 网 抓 取 数 


4. Server 开始 问 Internet 发 送 要 求 与 取得 相关 资料 ; 


5. 最 后 当然 束 是 将 数据 回 传 给 Client 闪 哆 ! 


上 面 的 流程 分 析 里 面 ， 我 们 可 以 清楚 的 知道 ， 当 Proxy 曾经 帮 某 位 用 
户 取得 过 A 


数据 后 ， 当 后 来 的 用 户 想 要 重复 取得 A 数据 时 ， 那 么 Proxy 束 会 从 目 
己 的 快 取 里 面 将 


A 数据 取出 传送 给 用 户 ， 而 不 用 跑 到 因特网 去 取得 同样 的 这 份 货 料 
喔 。 因 为 没有 去 因 特 


网 找 数据 ， 当 步骤 4 的 流程 很 花 时 间 时 ， 那 么 透 过 Proxy 忽略 步骤 4 
， 感 觉 上 就 好 


像 网 络 速度 变 快 了 ! 但 其 实 只 是 直接 从 Proxy 的 快 取 里 面 抓 而 已 (所 以 
才 会 有 人 说 『 假 


象 网 络 加 速 」 的 功能 )! 这 殊 是 两 个 流程 最 大 的 差异 了 。 


在 目前 的 因特网 社会 里 ， 由 于 宽带 技术 已 经 很 成 熟 ， 所 以 在 不 乱用 的 
情况 下 ， 网 络 
带宽 理论 上 是 足够 的 (除非 要 连 到 国外 去 )。 那 么 用 了 Proxy 之 后 效能 
会 不 会 更 提升 


呢 ? 管 案 十 ， 


『 应 该 不 会 ]! 蛤 ? 怎么 会 这 样 呢 ? 从 上 面 的 流程 分 析 中 ， 我 们 发 现 
Proxy 


会 音 毅 去 读 取 硬 盘 内 的 数据 ， 而 硬 弄 内 的 快 取 数 据 又 生 透 过 某 些 特殊 
方式 在 管理 ， 因 


此 要 找到 该 份 数据 吏 要 人 花 一 些 时 间 ， 再 加 上 如 采 硬 件 效能 (硬盘 或 主板 
心 片 组 ) 不 佳 时 ， 


那么 加 了 Proxy 反而 会 让 你 感觉 网 络 传输 怎么 『 卡 卡 的 4 哆 ! 这 点 得 
要 特别 注意 才 行 ! 
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自己 前 往 
往日 本 
个 人 虹 蚁 
往 欧 洲 
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Tips: 
Proxy 对 于 cache 的 速度 是 很 要 求 的 ， 而 这 个 cache 避 是 硬盘 啦 ! 
当然 ,硬盘 容量 必需 要 足够 大 ， 而 且 还 要 『 足 够 快 1 才 行 ! 因为 由 
上 面 的 流程 当中 ， 我 们 不 难 发 现 ，cache 是 一 直 被 重复 存 取 的 一 个 
地 方 喔 ! 所 以 硬盘 的 好 坏 束 差别 很 大 啦 ! 可 以 说 他 是 影响 一 个 Proxy 
效能 好 坏 的 关键 点 呢 ! 


17.1.3 上 层 代 理 服务 妖 


想 一 想 ， 既 然 Proxy 是 帮忙 客户 端 进行 网 页 代理 的 工作 ， 那 么 我 们 的 
Proxy 能 不 


能 也 指定 另外 一 台 Proxy 当成 我 的 Proxy 的 Proxy 呢 ? 很 绕 口 吧 ! 其 实 
流程 像 底 下 


这 样 啦 : 
图 17.1-3、 上 层 代 理 服 务 器 示意 图 


驶 是 我 们 的 Local proxy 并 不 会 主动 的 去 捉 数 据 ， 而 是 再 透 过 【上层 代 
理 服 务 器 J 


问 Internet 要 求 数 据 ! 这 样 有 什么 好 处 呢 ? 由 于 可 做 为 我 们 的 上 层 代理 
服务 器 的 主机 


通 当 是 具有 较 高 溃 宽 的 ， 因此 我 们 透 过 它 去 要 求 数据 当然 『 理 论 上 ] 
速度 会 更 快 喔 ! 


而 上 层 代 理 服务 器 最 大 的 好 处 其 实 是 在 于 『 分 流 上 喔 ! 例如 下 图 所 
示 : 


图 17.1-4、 以 多 部 上 层 代 理 服 务 器 达到 分 流 的 效果 示意 图 
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我 总 共 设 是 了 三 部 上 层 代理 服务 上 囊 ， 由 于 这 三 个 代理 服务 右 对 外 的 速 
度 都 不 相同 ， 


所 以 ， 当 我 要 去 美国 时 ， 就 以 Proxyl 来 要 求 资 料 ， 要 连 欧洲 就 以 
Proxy3 ， 人 至 于 要 连 


日 本 ， 就 以 Proxy 2 来 要 求 我 所 需要 的 数据 ， 如 此 一 来 ， 呵 呵 ! 可 以 让 
我 的 Proxy 达 


到 最 佳 的 效能 喔 ! 很 不 错 吧 ! 此 外 ， 为 了 市 省 上 层 proxy 的 负担 ， 如 采 
是 其 他 网 络 位 


置 ， 我 们 则 设 定 由 目 己 的 local proxy 捉 取 ~ 设 定 的 弹性 很 高 呢 ! 


由 于 代理 服务 器 需要 管控 信任 的 来 源 端 客 户 端 计 算 机 ， 因 此 各 ISP 仅 
能 针对 目 家 


的 用 户 来 开放 Proxy 使 用 权 而 已 。 台湾 第 见 的 几 家 ISP 提供 的 Proxy 
有 : 


D Hinet: http://service.hinet.net/2004/new adsl04.htm 


[| SeedNet: https://service.seed.net.tw/home/setting/server.htm 


由 于 当 用 户 透 过 Proxy 连 到 因特网 时 ， 网 络 看 到 的 十 Proxy 在 抓 取 数据 
而 不 是 该 


客户 端 ， 因 此 ， 我 们 不 难 发 现 Proxy 有 可 能 会 被 客户 端 过 度 的 滥用 ， 
同时 也 有 可 能 会 


被 拿 来 为 非 作 歹 啊 ! 所 以 ， 目 前 绝 大 部 分 的 Proxy 已 经 『 停 止 对 外 开 
放 J 了 ， 仅 针对 


目 己 的 网 域内 的 用 户 提供 本 项 服务 而 已 ~ 


因此 ， 如 果 你 要 自行 设 定 Proxy 的 时 候 ， 请 记得 去 你 当初 申请 网 络 的 
ISP (如 果 


征 学 术 单 位 ， 请 到 贯 单位 的 计 中 网 页 瞧 瞧 即 可 ) 搜寻 一 下 ， 才 能 比较 有 
效 的 设 定好 你 的 


服务 硕 喔 ! 因为 设 定 错误 的 话 ， 呵 呵 ! 上 层 Proxy 根本 不 提供 服务 ， 
或 者 是 上 层 Proxy 


的 效能 并 不 好 ， 那 个 时 候 你 的 Proxy 也 会 连带 的 受到 很 大 的 影响 啊 ! 
慎 选 ! 慎 选 ! 


17.1.4 代理 服务 器 与 NAT 服务 器 的 差异 


或 许 你 已 经 发 现 了 一 件 事 ， 那 就 是 ， 在 内 部 局 域 网 络 使 用 私有 卫 的 客 
户 端 ， 不论 


透 过 Proxy 或 者 NAT 均 可 以 直接 取得 WWW 的 服务 ， 那 么 NAT 与 
Proxy 有 没有 什么 


不 同 的 地 方 啊 ? 它们 不 都 是 可 以 让 内 部 的 计算 机 连接 出 去 吗 ? 其 实 这 


两 个 玩意 儿 差 异 
性 是 『 相 当 大 J 的 喔 ! 简单 说 明 如 下 : 


UNAT 服务 器 的 功能 : 


Linux 的 NAT 功能 主要 透 过 封包 过 滤 的 方 


用 iptables 的 nat 表格 进行 卫 伪装 (SNAT) ， 让 客户 端 目 行 前 往 因 特 网 
EE 


的 任何 地 方 的 一 种 方式 。 主 要 的 运作 行为 是 在 OSI 七 层 协 议 的 二 、 
三 、 四 层 。 


由 于 是 透 过 封包 过 滤 与 仿 儿 ， 因 此 客户 关 可 以 使 用 的 端口 口号 码 (第 四 
层 ) 较 弹 


性 ; 
0D Proxy 服务 器 的 功能 : 
主要 透 过 Proxy 的 服务 程序 (daemon) 提供 网 络 代理 的 任务 ， 因 此 Proxy 


能 不 


能 进行 某 些 工作 ， 与 该 服务 的 程序 功能 有 关 。 举例 来 说 ， 如 采 你 的 
Proxy 并 没 


有 提供 邮件 或 FTP 代理， 那么 你 的 客户 问 束 是 无 法 透 过 Proxy 去 取得 
这 些 网 络 


资源 。 主 要 运作 的 行为 在 OSI 七 层 协议 的 应 用 层 部 分 (所 谓 的 比较 "高 
阶 "之 
意 )。 
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这 样 说 有 没有 比较 有 点 概念 了 呢 ? NAT 服务 器 是 由 较 底层 的 网 络 去 进 
行 分 析 的 工 


作 ， 至 于 通过 NAT 的 封包 是 干 嘛 用 的 ，NAIT 不 去 管 他 ! 至 于 proxy 则 
主要 是 由 一 个 


daemon 的 功能 达成 的 ， 所 以 必需 要 符合 该 daemon 的 需求 ， 才 能 达到 
某 些 功能 ! 


17.1.5 架设 代理 服务 器 的 用 途 与 优 缺 点 


现在 我 们 的 路 知道 Proxy 的 功能 了 ， 那 么 通常 什么 情况 下 会 架设 Proxy 
呢 ? 一 般 


来 说 ， 代 理 服务 器 的 功能 主要 有 : 
0 作为 WWW 的 网 页 资料 取得 代理 人 : 这 是 最 主要 的 功能 嘛 ! 
:如 图 17.1-1 所 示 一 般 ， 如 果 


0 因 
你 的 
bo 是 放 在 内 部 区 网 的 Gateway 上 头 ， 那 么 这 部 代理 服务 器 就 能 够 作 
为 内 部 


计算 机 的 防火 墙 了 ! 而 且 还 不 需要 设 定 那 复杂 的 NAT 功能 呢 ! 只 是 单 
纯 的 Proxy 


服务 器 通常 仅 提 供 WWW 的 代理 ， 因 此 内 部 计算 机 想 要 取得 smtp， 
ftp.…. 束 比较 


扬 烦 ~~ 


由 于 Proxy 的 这 种 特性 ， 让 他 很 常 被 使 用 于 大 型 的 企业 内 部 ， 因 为 可 
以 达到 杜绝 


内 部 人 员 上 班 时 使 用 非 WWW 以 外 的 网 络 服务 ， 而 且 还 可 以 监测 用 户 
的 资料 要 求 流向 与 


流量 呢 ! 很 不 错 吧 ! 和 人! 好 了 ， 接 下 来 我 们 来 谈 一 谈 当 你 架设 了 
Proxy 后 的 优 缺 点 


吧 。 先 来 谈 谈 主要 可 能 具有 的 优点 有 : 


a 降低 网 络 负载 : 当 你 的 Proxy 用 户 很 多 
时 ， 那 


么 Proxy 内 部 的 快 取 数 据 将 会 罕 积 较 多 。 因 此 客户 端 想 要 取得 网 络 上 
的 数据 时 ， 


很 多 将 会 从 Proxy 的 快 取 中 取得 ， 而 不 用 同 因 符 网 要 求 贷 料 。 所 以 可 
以 节省 市 


宽 啊 ! 


ee 有 网 络 加 速 的 感觉 : 例如 你 可 以 指定 你 
9 ISP 


国外 ， 由 于 ISP 提供 的 Proxy 通常 具有 较 大 的 
对 外 和 带 


过 ， 因 此 在 对 国外 网 站 的 数据 取得 上 ， 通 常会 比 你 目 己 的 主机 联机 到 
国外 要 快 


的 多 。 此 外 ， 与 上 一 点 的 快 取 数 据 也 有 关系 啊 ! 从 内 部 硬盘 取得 的 路 
径 总 比 对 处 


的 因特网 要 短 的 多 啊 ! 


0 达到 自动 数据 分 流 的 效果 : 例如 图 
17.1-4 


示 ， 让 客户 端 在 不 知 不 觉 之 间 ， 束 可 以 得 到 数据 由 不 同 Proxy 取得 的 
加 速效 末 ! 


0 提供 防火 墙 内 部 的 计算 机 连 上 Intemet， 就 是 上 面 提 到 的 单 点 对 外 防 
火 墙 


由 于 代理 服务 响 的 这 些 优点 ， 因 此 这 里 要 强烈 的 建议 ， 如 果 你 需要 连 
上 国外 的 网 页 ， 


请 一 定 使 用 ISP 提供 给 你 的 代理 服务 器 来 帮忙 ， 因 为 不 但 可 以 节省 市 
宽 ， 并 且 速 度 上 


会 快 上 很 多 很 多 (例如 美国 环保 署 , EPA 网 站 )。 不 过 ， 有 利 就 有 浆 ， 当 
然 Proxy 也 


不 是 万 能 的 天 神 ~~ 他 有 什么 可 能 潜藏 的 缺点 呢 ? 
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0 容易 被 内 部 区 网 的 人 员 泪 用: 我 们 知道 因特网 上 看 到 取得 数据 鸭 人 下 
Proxy 


那 部 主机 而 不 是 客户 端 计 算 机 的 卫 ， 因 此 可 能 会 让 某 些 内 部 网 络 使 用 
六 员 开 内 


利用 你 的 proxy 于 坏事 ， 此 时 你 束 会 很 脐 烦 ~ 所 以 ， 为 了 杜绝 这 个 状 
况 ， 强 列 


的 建议 多 加 登录 档案 分 析 的 软件 ， 在 管理 上 面 会 轻松 很 多 喔 ! 


W000 
Proxy 


是 比较 不 容易 设 定好 『 殖 能 」 的 一 个 服务 器 了 ! 由 于 Proxy 的 Cache 
与 他 的 『 上 


层 代 理 服 务 夯 4 的 关系 是 很 紧密 的 ， 万 一 设 定 错误 的 话 ， 很 有 可 能 
而 让 你 的 


Proxy 拖 震 客户 端 WWW 的 浏览 速度 ! 最 严重 的 是 造成 无 法 联机 ! 


0 可 能 会 取得 旧 的 错误 数据 : 这 个 最 容易 发 生 了 ! 由 于 曾经 浏览 过 的 网 
页 会 被 


放置 到 快 取 ， 并 提供 后 续 用 户 的 直接 取得 。 万 一 因特网 上 面 的 那个 网 
页 数据 更 


新 过 呢 ? 那 时 你 会 发 现 ， 怎 么 客户 问 无 法 看 到 更 新 后 的 资料 ? 丈 是 因 
为 快 取 的 


问题 啊 ! 取得 旧 数 据 的 频率 可 能 会 很 高 啊 ! 


总 之 ， Proxy 的 优点 是 很 多 的 ， 但 是 缺点 却 需要 网 管 人 员 的 操心 啊 ! 
既然 如 此 ， 


0 
分 析 | 


吕 我 的 Client 端 用 户 不 少 ， 而 且 大 部 分 仅 需 要 WWW 这 个 网 络 服务 而 
Es 


我 的 Proxy 还 兼 做 防火 墙 的 任务 :; 


0 我 的 Client 端 常常 需要 联机 到 传输 速度 很 慢 的 网 站 ， 例 如 国外 的 网 
站 ; 


我 的 client 端 常常 浏览 的 网 站 是 『 静 态 」 网站， 而 不 是 动态 网 站 ( 例 
如 讨 


论 区 的 PHP)。 


如 膝 你 有 上 述 的 环境 状况 ， 那 么 是 可 以 考虑 染 设 Proxy 的 ， 但 是 ， 相 
反 的 来 说 ， 


要 是 (1) 我 的 Client 端 很 少 ， 所 以 每 次 连 上 WWW 都 是 求 取 新 的 资料 
(并 没有 用 到 快 


取 )， 有 没有 Proxy 反而 看 不 出 效益 一 此 外 ，(2)Proxy 由 于 属于 应 用 层 
下 村 


Internet 的 规划 上 弹性 较 不 足 ! 不 像 NAT 服务 器 可 以 进行 很 多 的 功能 ! 
(3) 我 常常 上 


的 网 站 是 类 似 讨论 区 那 种 一 日 多 变 的 网 站 ， 在 这 样 的 情况 下 ， 实 在 是 
没有 必要 架设 


Proxy 的 ! 


但 是 ， 如 有 果 对 于 学 校 单 位 那 原本 带宽 就 不 足 的 环境 中 ， 架 设 Proxy 来 
让 校内 的 网 


络 速度 提升 ， 呵 呵 ! 就 是 有 那个 必要 性 的 啦 ! 所 以 要 不 要 染 设 Proxy 
呢 ? 请 好 好 的 依 


据 你 的 环境 来 考虑 喔 ! 但 无 论 如 何 ， 我 们 还 是 要 教 大 家 怎么 架设 它 惑 


是 了 和 A 和 
17.2 Proxy 服务 锅 的 基础 设 定 


虽然 在 我 们 小 型 的 网 络 环境 中 ， 架 设 Proxy 真 的 没有 什么 用 ， 不 过 ， 
考虑 到 大 家 


未 来 可 能 会 高 升 嘛 ! 所 以 企业 第 用 的 Proxy 也 需要 了 解 一 下 比较 好 。 
A 


我 们 主要 介绍 一 个 比较 简单 的 Proxy 环境 ， 就 是 单纯 可 以 跑 而 已 的 代 
理 服务 絮 。 比 较 


高 阶 的 设 定 请 参考 后 续 小 节 的 介绍 嘿 。 
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17.2.1 Proxy 所 需 的 squid 软件 及 其 软件 结构 

达成 代理 服务 器 功能 的 软件 很 多 ， 例 如 效能 不 是 很 好 的 Apache 以 及 我 


们 这 个 章节 


要 介绍 的 八 扑 章鱼 squid 这 一 套 。 目前 代理 服务 器 在 Unix Like 的 环境 
下 ， 大 多 就 


是 使 用 squid ， 因 此 我 们 这 里 以 squid 为 准 来 介绍 啦 。 同 样 的 ， 请 使 用 
rpm 来 检查 ， 


如 果 尚 未 安装 ， 请 用 『 yum install squid 4 来 安装 吧 ! 安装 好 squid 之 
后 ， 它 主要 


的 提供 的 配置 文件 有 : 


[| /etc/squid/squid.conf 
所 有 squid 所 需要 的 设 定 都 是 放置 在 这 个 档案 
当中 的 ! 


乌 哥 底下 提 到 的 种 种 设 定 方法 几乎 都 是 这 个 档案 里 面 的 说 明 喔 ! 
[ /etc/squid/mime.conf 


这 个 档案 则 是 在 设 定 squid 所 文 持 的 Internet 上 面 的 文件 格式 ， 就 是 所 


谓 的 


mime 格式 路! 一 般 来 说 ， 这 个 档案 的 预 设 内 容 已 经 能 够 符合 我 们 的 需 
求 JJ 贞 


除非 你 很 清楚 的 知道 你 所 需要 额外 文 持 的 mime 文件 
二 < 


其 他 重要 的 目录 与 档案 有 : 
0 Asrsbin/squid: 提供 squid 的 主 程序 啊 ! 
DAvarspoolsquid: 就 是 默认 的 squid 快 取 放 置 的 目录 。 


0 /srNib64/squid/: 提供 squid 额外 的 控制 模块 ， 尤 其 是 影响 认证 密码 
洲 


面 的 程序 ， 都 是 放 在 这 个 目录 下 的 ; 

17.2.2 CentOS 预 设 的 squid 设 定 

在 预 设 的 情况 下 ，CentOS 的 squid 具有 底下 几 个 特色 : 

0 仅 有 本 机 (localhost, 127.0.0.1) 来 源 可 以 使 用 这 个 squid 功能 
D squid 所 监听 的 Proxy 服务 起 口 在 port 3128 


0 快 取 目录 所 在 的 位 置 在 /varspoolsquid/ ， 且 仅 有 100MB 的 傍 一 高 速 
组 


存量 


0 除了 squid 程序 所 需要 的 基本 内 存 之 外 ， 尚 提供 8MB 的 内 存 来 给 热 


门 档案 

快 取 在 内 存 中 (因为 内 存 速度 比 硬 弄 还 快 ) 

D 默认 启动 squid 程序 的 用 户 为 squid 这 个 账号 (与 磁盘 高 速 缓存 目 孙 权 
限 有 关 ) 


其 实 ， CentOS 预 设 的 squid 设 定 ， 是 仅 针 对 本 机 (localhost) 开放 的 情 
况 ， 而 


一 大 堆 设 定 的 默认 值 ， 都 是 仅 针 对 小 型 网 络 环境 所 指定 的 数值 ， 同 
时 ， 很 多 比较 特殊 
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/ 


2 如 
7 
< 一 rye 


的 参数 都 没有 启动 。 所以， 我 们 束 得 要 来 了 解 一 下 各 设 定 值 的 意义 ， 
这 样 才能 够 进行 


修改 嘛 ! 这 些 参 数 都 是 在 squid.conf 里 头 指定 的 ， 所 以 ， 就 让 我 们 来 看 
看 这 个 档案 的 


内 容 与 较 重要 的 参数 吧 : 


© 
ey 


Tips: 
CentOS 6.x 已 经 将 squid.conf 里 面 不 相干 的 设 定 值 通通 拿 掉 了 ， 

所 以 这 个 档案 就 变 的 非常 的 精简 ! 这 样 其 实 有 好 有 坏 啦 ! 好 处 是 ， 
你 不 用 去 看 一 些 你 用 不 到 的 参数 值 ， 坏 处 是 ， 如 果 你 想 要 其 他 的 设 
定 ， 就 得 额外 参考 外 部 文件 了 ! 伤 脑筋 ~ 


[root@www ~]# vim /etc/squid/squid.conf 

#1. 信任 用 户 与 目标 控制 ， 透 过 acl 定义 出 localhost 等 相关 用 户 
acl manager proto cache_object <== 定 义 manager 为 管理 功 

能 


acl localhost src 127.0.0.1/32 <== 定 义 localhost 为 本 机 


来 产 

acl localhost src ::1/128 

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 <== 定 义 to_localhost 可 
联机 到 本 机 

acl to_localhost dst ::1/128 

# 2. 信任 用 户 与 目标 控制 ， 定 义 可 能 使 用 这 部 proxy 的 外 部 用 户 (内 网 ) 


acl localnet src 10.0.0.0/8 <== 可 发 现 底下 都 是 private IP 的 设 定 


acl localnet src 172.16.0.0/12 
acl localnet src 192.168.0.0/16 
acl localnet Src fc00::/7 

acl localnet src fe80::/10 


# 上 壕 数 据 设 定 两 个 用 户 (localhost, localnet) 与 一 个 可 取得 目标 


(to_localhost) 

#3. 定义 可 取得 的 数据 端口 口 所 在 ! 

acl SSL_ports port 443 <== 联 机 加 密 的 塌 口 设 定 

acl Safe_ports port 80 # http <== 公 认 标 准 的 协议 使 用 埋 口 
acl Safe_ports port 21 # ftp 

acl Safe_ports port 443 # https 

# 定义 出 SSL_ports 及 标准 的 常用 塌 口 Safe_ports 两 个 名 称 


#4. 定义 这 些 名 称 是 否 可 放行 的 标准 依据 (有 顺序 喔 ! ) 


http_access allow manager localhost <== 放 行 管理 本 机 的 功能 
http_access deny manager <== 其 他 管理 来 源 都 子 以 拒绝 
http_access deny !Safe_ports <== 拒 绝 非 正规 的 塌 口 联机 要 求 


http_access deny CONNECT !SSL_ports <== 拒 绝 非 正规 的 加 密 塌 口 联机 
要 求 


<== 这 个 位 置 为 你 可 以 写 入 自己 的 规则 的 位 置 喔 ! 不 要 写 错 了 ! 有 顺序 
安 计 H! 
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http_access allow localnet <== 放 行内 部 网 络 的 用 户 来 源 

http_access allow localhost <== 放 行 本 机 的 使 用 

http_access deny all <== 全 部 都 予以 拒绝 啦 ! 

# 5. 网 络 相关 参数 ， 最 重要 的 是 那个 定义 Proxy 协议 塌 口 的 http_port 
http_port 3128 <==Proxy 预 设 的 监听 客户 端 要 求 的 塌 口 ， 是 可 以 改 的 
# 其 实 ， 如 果 想 让 proxy server/client 之 间 的 联机 加 密 ， 可 以 改 用 
https_port (923) 

# 6. 快 取 与 内 存 相关 参数 的 设 定 值 ， 尤 其 注意 内 存 的 计算 方式 
hierarchy_stoplist cgi-bin ? <==hierarchy_stoplist 后 面 的 关键 词 (此 
例 为 cgi-bin) 

# 若 发 现在 客户 端 所 需要 的 网 址 列 ， 

则 不 快 取 (避免 经 常 变动 的 数据 库 或 程序 

讯息 ) 


cache_mem 8 MB <== 给 proxy 额外 的 内 存 ， 

用 来 处 理 最 热门 的 快 取 数 据 ( 需 

目 己 加 ) 

#7. 令 强 高速 缓存 ， 亦 即 放置 快 取 数 据 的 目录 所 在 与 相关 设 定 
cache_dir ufs /var/spool/squid 100 16 256 <== 预 设 使 用 100MB 的 容量 放 


置 快 取 


coredump_dir /var/spool/squid 

# 底下 的 四 个 参数 得 要 目 己 加 上 来 喔 ! 旧版 才 有 这 样 的 默认 值 ! 
minimum_object_size 0 KB <== 小 于 多 少 KB 的 数据 不 要 放 快 取 ，0 为 不 
限制 


maximum_object_size 4096 KB <== 与 上 头 相 反 ， 大 于 4 MB 的 数据 就 不 
快 取 


到 磁 副 


cache_swap_low 90 <== 与 下 一 行 有 关 ， 减 低 到 剩 下 90% 的 磁盘 高 速 组 
存 为 


止 
cache_swap_high 95 <== 当 磁盘 使 用 量 超过 95% 就 开始 删除 磁盘 中 的 旧 
快 


取 
# 8. 其 他 可 能 会 用 到 的 默认 值 ! 参考 参考 即 可 ， 并 不 会 出 现在 配置 文件 
中 


access_log /var/log/squid/access.log squid <== 曾 经 使 用 过 squid 的 用 


户 记 录 
ftp_user Squid@ <== 当 以 Proxy 进行 FTP 代理 匿名 登录 时 ， 使 用 的 账号 
名 


称 

ftp_passive on <== 若 有 代理 FTP 服务 ， 使 用 被 动 式 联机 
refresh_pattern ^ftp: 1440 20% 10080 

refresh_pattern Agopher: 1440 0% 1440 

refresh_pattern -i (/cgi-bin 小 ?) 0 0% 0 

refresh_pattern . 0 20% 4320 

# 上 面 这 四 行 与 快 取 的 存在 时 间 有 关 ， 底 下 内 文 会 予以 说 明 


cache_mgr root <== 预 设 的 proxy 管理 员 的 email 
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cache_effective_user squid <== 启 动 squid PID 的 拥有 者 
cache_effective_group squid <== 局 动 squid PID 的 群 组 


# visible_hostname <== 有 时 由 于 DNS 的 问题 ， 找 不 到 主机 名 会 出 销 ， 
就 得 


加 上 此 设 定 


ipcache_size 1024 <== 以 下 三 个 为 指定 IP 进行 快 取 的 设 定 值 


ipcache_low 90 


ipcache_high 95 


光 是 了 解 上 述 的 一 些 基础 设 定 值 ， 可 能 就 要 头 昏 昏 了 ， 更 别 说 
squid.conf 里 面 的 其 他 


设 定 值 ， 看 a 到头 好 芽 ... 无 论 如 何 ， 上 述 这 些 设 定 已 经 是 很 基础 的 设 定 
了 ， 你 最 好 了 解 


一 下 ! 除了 cache_dir 那 一 行 取消 批注 ， 其 他 的 保持 不 动 ! 让 我 们 以 默 
认 值 来 直接 局 


动 squid 看 看 有 什么 特别 的 地 方 再 说 。 
0 
使 用 上 默认 值 来 局 动 squid 并 观察 相关 信息 


要 局 动 squid 真是 简单 ， 让 我 们 来 局 动 squid 并 且 观 察 有 没有 相关 的 埋 
口 吧 1 


[root@www ~]# /etc/init.d/squid start 
init_cache_dir /var/spool/squid... 正在 激活 squid: .[ 确 
定 ] 


# 第 一 次 启动 会 初始 化 快 取 目 录 ， 因 此 会 出 现 上 述 左 边 的 数据 ， 未 来 这 
个 讯息 


不 会 再 出 现 

[root@www ~]# netstat -tulnp | grep squid 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 :::3128 :::* LISTEN 


2370/(squid) 


udp 0 0 :::45470 :::* 
2370/(squid) 
[root@www ~]# chkconfig squid on 


如 果 你 有 设 定 icp_port 时 ，squid 预 设 会 启动 3128 及 3130 两 个 塌 口 ， 
其 中 要 注意 


的 是 ， 实际 帮 用 户 进 行 监听 与 传送 数据 的 是 port 3128 (TCP)，3130 
(UDP) 仅 是 负责 


与 邻近 Proxy 互相 沟通 彼此 的 快 取 数 据 库 的 功能 ， 与 实际 的 用 户 要 来 
无 天 。 因 此 ， 如 


果 你 的 proxy 是 单纯 的 蛙 一 主机 ， 或 者 古 单纯 的 作为 防火 墙 功能 ， 那 么 
这 个 port 3130 


以 关闭 的 。 就 因 如 此 ， 所 以 CentOS 6.x 预 设 将 这 个 设 定 值 批注 不 
用 嚼 ! 


例题 : 

由 于 我 的 Proxy 仅 是 部 简单 的 单一 代理 服务 器 ， 并 没有 架设 成 为 公开 
的 邻近 代 

理 服务 器 (peer proxy 或 neighbor proxy)， 因 此 想 要 关闭 port 3130 ， 该 
如 何 
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处 理 ? 


竹 -. 


万 … 


旧版 的 CentOS 5.x 以 前 的 版 本 才 需 要 进行 ， 很 简单 ， 直 接 修 改 icp_port 
即 


可 上 方法 为 : 

[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 2011/04/06 modified， 将 下 列 数据 从 3130 改 为 0 即 可 
icp_port 0 

[root@www ~]# /etc/init.d/squid restart 


事实 上 ， 如 果 你 的 客户 端 与 proxy 之 间 的 沟通 想 要 使 用 加 密 机 制 的 SSL 
功能 ， 以 


保障 客户 端的 信息 避免 被 窃取 时 ， 那么 还 有 个 https_port 可 以 取代 
http_port ! 不 


过 ， 充 其 量 我 们 的 proxy 并 非 公开 也 仅 是 架设 在 内 部 区 网 ， 因 此 还 不 
需要 使 用 到 这 个 


https_port 啦 ! 

0 

观察 与 修改 快 取 目录 (cache_dir)， 权 限 与 SELinux 

从 前 面 的 说 明 我 们 知道 磁 熏 高 速 缓存 是 影响 proxy 效能 的 一 个 相当 重要 


的 参数 


那么 squid 古 如 何 将 快 取 存 进 磁盘 的 呢 ? squid 是 将 数据 分 成 一 小 块 一 
小 块 ， 然 后 分 


别 放 敬 到 个 别 的 目录 中 。 由 于 较 多 的 目录 可 以 让 省 在 同一 个 目 邓 内 找 
好 多 档案 的 时 间 


( 想 一 想 ， 分 门 别 类 的 放置 书籍 在 不 同 的 书柜 内 ， 总 比 将 所 有 书籍 杂乱 
无 章 的 放置 到 一 


个 大 书柜 要 好 的 多 吧 ! )， 因 此 ， 在 默认 的 /var/spool/squid/ 目录 下 ， 
squid 又 会 


将 它 分 成 两 层 子 目录 来 存放 相关 的 快 取 数 据 ， 所 以 观 绎 该 目录 忠 会 


古 : 
[root@www ~]# ls /var/spool/squid 

00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D OE OF 
swap.state 

# 算 一 下 ， 

你 会 发 现 共有 16 个 子 目 录 ! 

那么 我 们 来 看 看 第 一 个 子 目录 的 内 容 : 


[root@www ~]# ls /var/spool/squid/00 

00 08 10 18 20 28 ... 98 A0 A8 B0 B8 C0 C8 D0 D8 E0 
E8 FO F8 

01 09 11 19 21 29 ... 99 A1 A9 Bl1 B9 C1 C9 D1 D9 E1 
E9 F1 F9 

…( 中 间 省 略 )..… 

06 OF 16 1E 26 2E ... 9E A6 AE B6 BE C6 CE D6 DE E6 
EE F6 FE 

07 OF 17 1F 27 2F ... 9F A7 AF BY7 BF C7 CF D7 DF EY7 
net.giang@hotmail.com 


EF F7 FF 


# 看见 了 吗 ? 总 共有 256 个 子 目 孙 出 现 嚼 |! 


现在 我 们 知道 了 较 多 的 目录 是 为 了 将 数据 分 门 别 类 放置 ， 但 是 第 一 层 
16 个 与 第 二 层 


256 个 是 怎么 来 的 ? 让 我 们 来 瞧 一 瞧 cache_dir 这 个 重要 参数 的 设 定 是 
经 样 : 


DU cache_dir ufs /var/spool/squid 100 16 256 

在 /var/spool/squid/ 后 面 的 参数 意义 是 : 

0 第 一 个 100 代表 的 是 磁盘 使 用 量 仅 用 掉 该 文件 系统 的 100MB 
0 第 二 个 16 代表 第 一 层次 目录 共有 16 个 

0 第 三 个 256 代表 每 层次 目录 内 部 再 分 为 256 个 次 目录 


根据 squid 的 说 法 与 其 他 文献 的 说 明 ， 这 两 层 快 取 目 邓 较 佳 的 配置 束 是 
16 256 


以 及 64 64 这 两 种 配置 ， 所 以 我 们 也 不 需要 修改 相关 的 数据 啦 ! 重点 
时 还 得 要 注意 这 


个 目录 的 档案 拥有 者 与 SELinux 类 型 才 成 吻 ! 
例题 : 


人 proxy 的 磁 强 高 速 缓存 应 该 是 不 够 用 ， 而 之 前 的 磁盘 规划 
义 没 


做 好 ， 因 此 /var/ 最 多 还 有 500MB 可 以 让 我 们 做 为 磁 副 高 速 缓存 。 那 
么 如 果 想 要 


将 预 设 的 磁盘 高 速 缓存 改 为 500MB 而 且 再 加 上 /srv/squid/ 目录 给 予 
2GB 的 容 


量 做 为 磁盘 高 速 缓存， 该 如 何 进 行 设 定 ? 


这 里 都 与 cache_dir 有 关 ! 这 个 设 定 值 可 以 重复 出 现 多 次 ! 因此 ， 我 们 
可 以 这 


样 进行 的 ， 特 别 注意 底下 的 目 孙 权限 与 SELinux 类 型 哆 ! 


[root@www ~]# vim /etc/squid/squid.conf 


#Default: VBird 2011/04/06 modified， 底 下 的 设 定 除了 拿 掉 # 之 外 还 得 
修 


改 ! 

cache_dir ufs /var/spool/squid 500 16 256 

cache_dir ufs /srv/squid 2000 16 256 

[root@www ~]#mkdir /srv/squid 

[root@www ~]# chmod 750 /srv/squid 

[root@www ~]# chown squid:squid /srv/squid 

[root@www ~]# chcon --reference /var/spool/squid /Srv/squid 
[root@www ~]#1 -Zd /srv/squid 

drwxr-x---. squid squid system_u:object r:squid_cache t:s0 
/srv/squid/ 


[root@www ~]# /etc/init.d/squid restart 


之 所 以 要 改 成 squid 拥有 ， 是 因为 上 头 的 squid.conf 中 ， 预 设 的 局 动 
PID 的 账 
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号 束 是 squid 这 个 人 物 嘛 ! 所 以 当然 要 变更 ! 至 于 SELinux 的 类 型 方 
面 ， 参 考 预 


设 的 /var/spool/squid 就 能 够 知道 了 。 不 过 要 注意 ， 某 些 特定 的 目录 ( 例 
如 


/home) 是 不 允许 建立 快 取 目 孙 的 ， 因 此 我 们 使 用 服务 数据 可 以 放置 的 
/srv 作为 测 


试 范例 哆 ! 


想 一 想 ， 既 然 快 取 是 放 在 人 磁 姐 上 面 的 ， 那 么 快 取 的 数据 会 不 会 塞 满 整 
个 快 取 磁 盘 呢 ? 


当然 会 啊 ! 而 且 当 塞 满 磁 副 之后， 你 的 proxy 您 介 束 无 法 继续 运作 
了 上 所 以 ， 我 们 当 


然 得 要 好 好 的 注意 磁 副 使 用 量 是 否 已 经 饱和 和 了。 在 上 述 的 例题 中 ， 兰 


/Var/spool/squid 塞 满 500MB 而 /srv/squid 塞 满 2GB 那么 你 的 proxy 就 


让 

了 避免 这 个 问题 ， 因 此 squid 有 底下 两 个 重要 设 定 : 
D cache_swap_low 90 

[| cache_swap_high 95 


代表 当 人 磁盘 使 用 量 达 95% 时 ， 比 较 旧 的 快 取 数 据 将 会 被 删除 ， 当 删除 
到 剩 下 磁 一 


使 用 量 达 90% 时 ， 就 停止 持续 删除 的 动作 。 以 本 案例 中 ， 总 共 2.5GB 
的 容量 ， 当 用 


到 2.5*0.95=2.375G 时 ， 旧 的 数据 会 开始 被 删除 ， 删 到 剩 下 
2.5*0.9=2.25GB 时 ， 就 


停止 删除 的 意思 。 所 以 会 被 删除 掉 125MB 的 旧 数 据 就 是 了 。 通 常 这 个 
设 定 值 已 经 足够 


了 ， 不 需要 变动 他 ， 除 了 你 的 快 取 太 大 或 太 小 时 ， 才 会 调整 这 个 设 定 
值 。 


0 
squid 使 用 的 内 存 计算 方式 


事实 上 ， 除 了 磁 副 容量 之 外 ， 内 存 可 能 是 男 一 个 相当 重要 的 影响 proxy 
效能 的 因 


子 ! 怎么 说 呢 ? 因为 proxy 会 将 数据 存 一 份 在 磁盘 高 速 缓存 中 ， 但 是 同 
时 也 会 将 数据 


暂 存在 内 存 当中 啊 ， 以 加 快 未 来 使 用 者 存 取 同 一 份 数据 的 速度 ! 但 是 
这 个 内 存 快 取 坪 


需要 花费 额外 的 服务 器 物理 内 存 的 量 ， 所 以 就 得 要 以 额外 的 设 定 值 来 
指定 哆 。 那 束 古 


cache_mem 这 个 设 定 值 的 功能 


很 多 人 (包括 乌 哥 ) 都 会 误会 cache_mem 的 用 途 ! 其 实 cache_mem 是 额 
外 的 指定 


一 些 内 存 来 进行 比较 了 热门 4 的 数据 存 取 ! cache_mem 并 不 是 指 我 要 
使 用 多 少 内 存 给 


squid 使 用 ， 而 是 指 "我 还 要 额外 提供 多 少 内 存 给 squid 使 用 " 的 意 
思 J ! 由 于 预 设 


1GB 的 磁盘 高 速 缓存 会 占用 约 10M 的 内 存 ， 而 squid 本 身 也 会 占用 约 
15MB 的 内 存 ， 


因此 ， 上 个 例题 中 squid 使 用 掉 的 内 存 就 有 : 


02.5*10+15+"cache_mem 设 定 值 (8)" 


squid 官方 网 站 建议 你 的 物理 内 存 最 好 是 上 面 数值 的 两 倍 ， 也 束 旦 说 ， 
上 述 的 内 存 


使 用 量 已 经 是 48MB， 则 我 的 物理 内 存 最 好 至 少 要 有 100 MB 以 上 , 才 
会 有 比较 好 的 效 


能 ! 当然 ， 这 个 单 指 Proxy 部 分 而 已 ， 如 末 你 的 该 部 主机 还 有 人 负责 其 
他 的 工作 ， 呵 呵 ! 
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0 


那么 内 存 束 得 在 囚 加 上 去 啦 ! 一 般 来 说 ， 如 果 你 的 Proxy 很 多 人 使 用 
时 ， 这 个 值 越 大 


越 好 ， 但 是 最 好 也 要 符合 上 面 的 需求 喔 ! 
例题 : 


es 而 proxy 确实 是 我 重要 的 服务 ， 因 此 想 要 增加 额外 
9 32MB 


作为 热门 数据 快 取 ， 该 如 何 修 改 ? 


直接 做 了 啦 ! 就 是 修改 cache_mem 而 已 ! 

[root@www ~]# vim /etc/squid/squid.conf 

#Default: VBird 2011/04/06 modified， 将 原本 的 8 改 为 32 吧 ! 
cache_mem 32 MB 


[root@www ~]# /etc/init.d/squid restart 


17.2.3 管控 信任 来 源 (如 区 网 ) 与 目标 (如 恶意 网 站 ): acl 与 http_access 
的 使 用 


在 上 面 的 基础 设 定 中 ， 其 实 仅 有 proxy 服务 器 本 吴 可 以 向 自己 的 proxy 
要 求 网 页 


代理 ~~ 那 有 个 屁 用 啊 ? 我 们 的 重点 十 想 要 开放 给 区 网 来 使 用 这 个 proxy 
的 嘛 ! 所 以 当 


然 得 要 修改 信任 用 户 的 管控 参数 哆 。 此 时 ， 那 个 重要 到 不 行 的 aq 就 
得 要 来 瞻 一 瞻 啦 ! 


这 个 acl 的 基本 语法 为 : 
acl < 自 定义 的 acl 名 称 > < 要 控制 的 acl 类 型 > < 设 定 的 内 容 > 


由 于 squid 并 不 会 直接 使 用 IP 或 网 域 来 管控 信任 目标 ， 而 是 透 过 acl 名 
称 来 管理 ， 


这 个 <acl 名 称 > 束 必 须要 设 定 管 理 的 是 来 源 还 古 目 标 (acl 类 型 ) ， 以 及 
实际 的 IP 


或 网 域 ( 设 定 的 内 容 ) 啦 ! 这 个 acl 名 称 可 以 想 成 是 一 个 昵称 惑 是 了 。 那 
么 有 哪些 重 


要 的 acl 类 型 呢 ? 基本 上 有 这 些 : 
0 
管理 是 否 能 使 用 proxy 的 信任 客户 端 方 式 : 


由 于 因特网 主要 有 使 用 IP 或 主机 名 来 作为 联机 方式 的 ， 因 此 信任 用 户 
的 来 源 至 少 


束 有 庶 下 几 种 : 


[| src ip-address/netmask: 


主要 控制 『 来 源 的 IP 地址 4。 举例 来 说 ， 乌 哥 的 内 网 有 两 个 ， 分 别 是 
192.168.1.0/24 以 及 192.168.100.0/24 ， 那么 假设 我 想 要 制订 一 个 
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vbirdlan 的 acl 名 称 ， 那 就 可 以 在 配置 文件 内 写成 : 

acl vbirdlan src 192.168.1.0/24 192.168.100.0/24 

[| src addr1-addr2/netmask: 

主要 控制 『 一 段 范围 来 源 的 IP 地 址 3。 假设 我 只 想 要 让 
192.168.1.100-192.168.1.200 使 用 这 部 proxy ， 那 么 就 用 : 

acl vbirdlan2 src 192.168.1.100-192.168.1.200/24 


L srcdomain .domain.name: 


0 户 的 卫 一 直 变 ， 所 以 使 用 的 是 DDNS 的 方式 来 更 新 主机 名 
与 JP 好 


I 以 使 用 主机 名 来 开放 ! 例如 来 源 旦 .ksu.edu.tw 的 来 
产 用 


束 开 放 使 用 权 ， 那 束 是 : 

acl vbirdksu srcdomain .ksu.edu.tw 

0 

管理 是 否 让 proxy 帮忙 代理 到 该 目标 去 获取 数据 : 


除了 管理 来 源 用 户 之 外 ， 我 们 还 能 够 管理 是 否 让 proxy 服务 絮 到 某 些 日 
标 去 获取 


数据 喔 ! 在 预 设 的 设 定 中 ， 我 们 的 proxy 仅 管 理 可 以 问 外 取得 port 21， 
80, 440... 


等 问 口 口 的 目标 网 站 ， 不 是 这 些 痢 口 口 束 无 法 帮忙 代理 取得 。 至 于 IP 
或 网 域 则 没有 


管理 。 基 本 的 管理 有 这 些 方式 : 

0 dst ip-addr/netmask: 

控制 不 能 去 的 目标 网 站 的 IP ， 举 例 来 说 ， 我 们 不 许 proxy 去 提取 
120.114.150.21 这 部 主机 的 IP 时， 可 以 写成 是 : 

acl dropip dst 120.114.150.21/32 


[| dstdomain .domain.name: 


控制 不 能 去 的 目标 网 站 的 主机 和 名。 举例 来 说 ， 如 采 你 在 上 谍 时 不 允许 
学 生 跑 去 种 


田 还 是 小 小 战争 ， 那 就 得 要 把 .facebook.com 给 关闭 ! 那 就 需要 写成 : 
acl dropfb dstdomain .facebook.com 
DU url_regex [-i ^http://url: 


使 用 正规 表示 法 来 处 理 网 址 列 的 一 种 方式 ! 这 种 方式 的 网 址 列 必须 要 
完整 的 输入 


i 。 举例 来 说 ， 昆 山 科 大 的 中 文 网 页 写法 
为 (并 非 


部 分 比 对 ， 所 以 最 结尾 的 .* 记得 要 加 上 去 ! ): 


acl ksuurl url_regex ^http:/www.ksu.edu.tw/cht/.* 

LD uripath_regex [-i] \.gif$: 

与 上 一 个 acl 非常 类 似 ， 只 是 上 一 个 需要 填写 完整 的 网 址 数据 ， 这 里 则 
日 

是 根据 


网 址 列 的 部 分 比 对 来 处 置 。 以 上 述 的 预 设 案 例 来 说 ， 只 要 网 址 列 结尾 
是 gif (图 


瞩 文 件 ) 殉 符 合 这 个 项 目 了 。 万 一 我 要 找 出 有 问题 的 色情 网 站 ， 有 出 现 
/sexy 名 


称 并 以 jpg 结尾 的 ， 束 予以 抵挡 ， 那 束 古 使 用 : 


acl sexurl urlpath_regex /sexy.*\.jpg$ 
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除了 上 壕 的 功能 之 外 ， 我 们 还 能 够 使 用 外 部 的 档案 来 提供 相对 应 的 acl 
内 容 设 定 


值 喔 ! 举例 来 疯 ， 假 设 我 们 想 要 抵挡 的 外 部 主机 名 党 向 会 变动 ， 那 么 
我 们 可 以 使 用 


/etc/squid/dropdomain.txt 来 设 定 主机 名 ， 然后 透 过 撒 下 的 方式 来 处 理 
acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 


然后 在 dropdomain.txt 当中 ， 一 行 一 个 待 管理 的 主机 名 ， 这 样 也 能 够 减 


少 持续 修 


改 squid.conf 的 困扰 ! 好 了 ! 了 解 了 acl 之 后 ， 搂 下 来 得 要 谈 谈 


YY 


http_access 这 
个 实际 放行 或 拒绝 的 参数 了 |! 

0 

以 http_access 调整 管理 信任 来 源 与 管控 目标 的 『 顺 序 J: 

设 定好 acl 之 后 ， 搂 下 来 隐 是 要 看 看 到 确 要 不 要 放行 喔 一 放行 与 否 跟 


http_access 这 个 项 目 有 关 。 基 本 上 ， http_access 就 是 拒绝 (deny) 与 允 
许 (allow) 


两 个 控件 目 ， 然 后 再 加 上 acl 名 称 束 能 够 达到 这 样 的 功能 了 ! 只 是 你 
得 要 特别 注意 的 


是 : http_access 后 面 接 的 数据 ， 是 有 顺序 的 ! 这 个 观念 很 重要 喔 ! 我 
们 用 底下 的 案 


例 来 说 明 好 了 : 


假设 我 要 放行 内 部 网 络 192.168.1.0/24, 192.168.100.0/24 这 两 段 网 域 ， 
然后 拒 


绝对 外 的 色情 相关 图 片 ， 以 及 facebook.com 网 站 ， 那 么 就 应 该 要 这 样 
做 : 


[root@www ~]# vim /etc/squid/squid.conf 


J access 是 有 顺序 的 ， 因 此 建议 你 找到 底下 这 个 关键 词 行 后 ， 将 你 


料 加 在 后 面 


#INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM 
YOUR CLIENTS 


acl vbirdlan src 192.168.1.0/24 192.168.100.0/24 

acl dropdomain dstdomain .facebook.com 

acl dropsex Urlpath_regex /sexy.*jpg$ 

http_access deny dropdomain <== 这 三 行 的 了 顺序 」 很 重要 ! 
http_access deny dropsex 

http_access allow vbirdlan 


[root@www ~]# /etc/init.d/squid restart 


你 得 要 注意 ， 如 果 先 放行 了 vbirdlan 才 抵 挡 dropdomain 时 ， 你 的 设 定 
可 能 会 失败 ! 


因为 内 网 已 经 先 放 行 ， 因此 后 面 的 规则 不 会 比 对 ， 那 么 facebook.com 
就 无 法 被 抵挡 


了 ! 这 点 得 要 很 注意 才 行 ! 通常 的 作法 是 ， 先 将 要 拒绝 的 写 上 去 ， 然 
后 才 写 要 放行 的 


数据 束 好 了 。 
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名 
17.2.4 其 他 额外 的 功能 项 目 
0 


不 要 进行 某 些 网 页 的 快 取 动 作 


从 前 面 的 说 明 我 们 知道 proxy 的 快 取 通常 在 记录 比较 少 变动 的 数据 
如 果 是 讨论 


区 或 者 是 程控 类 的 数据 库 型 态 网 页 ， 那 么 人称 怕 束 没有 快 取 的 需要 ， 
为 数据 一 直 变 动 


嘛 ! 你 总 不 硕 望 你 发 了 一 帖 留言 ， 绪 采 等 一 下 再 去 浏 响 时 ， 看 到 的 还 
征 旧 留言 吧 ! 所 


以 路， 在 预 设 的 情况 下 ，squid 已 经 拒绝 某 些 数据 的 快 取 了 ， 那 束 是 必 
下 的 几 个 设 定 值 : 


acl QUERY urlpath_regex cgi-bin \? 


cache deny QUERY <== 重 点 就 是 这 一 行 ! 可 以 拒绝 ， 不 要 让 后 面 的 
URL 被 快 


取 ! 


我 们 知道 通常 .php 结尾 的 网 页 大 部 分 束 是 讨论 区 之 类 的 变动 性 数据 ， 
那么 能 不 能 出 


现 .php 结尾 的 网 页 整 不 要 快 取 呢 ? 当然 可 以 啊 ! 那 该 如 何 进 行 ? 我 们 
以 上 面 的 数据 


来 照样 造句 一 下 吧 ! 


例题 
只 要 网 址 列 出 现 .php 结尾 的 ， 就 不 予以 快 取 ! 


透 过 acl 配合 cache 这 两 个 参数 来 处 理 即 可 ! 

[root@www ~]# vim /etc/squid/squid.conf 

acl denyphp urlpath_regex \.php$ 

cache deny denyphp 

# 在 此 档案 的 最 后 新 增 这 两 行 即 可 ! 

[root@www ~]# /etc/init.d/squid restart 

四 

人 磁盘 中 快 取 的 存在 时 间 

还 记得 展 下 的 设 定 值 吗 ? 这 个 设 定 值 的 参数 是 这 样 设 定 的 : 


# refresh_pattern <regex> < 最 小 时 间 > < 百分比 > < 最 大 时 间 > 


refresh_pattern ^ftp: 1440 20% 10080 
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refresh_pattern Agopher: 1440 0% 1440 
refresh_pattern -i (/cgi-bin 小 ?) 0 0% 0 
refresh_pattern . 0 20% 4320 


0 regex: 使 用 的 是 正规 表示 法 来 分 析 网 址 列 的 和 资料， 如 上 面 第 一 行 设 
定 为 网 址 列 


开头 是 ftp 的 意思 。 


0 最 小 时 间 : 单位 是 分 钟 ， 当 取得 这 个 数据 的 时 间 超 过 这 个 设 定 值 ， 则 
该 数据 


会 个 判 定 为 旧 资 料 。 如 上 面 第 一 行 ， 表 示 当 取得 的 资料 超过 1440 分 钟 
时 ， 该 


资料 会 被 判定 为 日 数据 ， 帮 有 人 淮 试 读 取 同 样 的 网 址 列 ， 那 么 squid 会 
重新 抓 


取 该 数据 ， 不 会 使 用 快 取 内 的 旧 数 据 。 至 于 第 三 行 ， 则 表示 除了 上 壕 
的 两 个 开头 


数据 外 ， 其 他 的 数据 都 是 被 定义 为 新 的 ， 因 此 squid 只 会 从 快 取 内 抓 
数据 给 客 


户 病 。 


0 百分比 : 这 个 项 目 与 【最 大 时 间 」 有 关 ， 当 该 唤 料 被 抓 取 到 快 取 后 ， 
经 过 最 


大 时 间 的 多 少 百 分 比 时 ， 该 数据 就 会 被 重 抓 。 


0 最 大 时 间 : 与 上 一 个 设 定 有 关 ， 殊 古 这 个 数据 存在 快 取 内 的 最 长 时 
间 。 如 上 


面 第 一 行 ， 最 大 时 间 为 10080 分 钟 ， 但 是 当 超 过 此 时 间 的 20% (2016 
分 钟 ) 时 ， 


这 个 数据 也 会 被 判定 为 旧 资 料 。 
例题 : 


在 网 址 列 出 现 .vbird. 字样 时 ， 该 数据 为 暂时 使 用 的 ， 因 此 2 小 时 后 束 
算 旧 


数据 。 而 最 长 保留 在 快 取 给 她 一 天 的 时 间 ， 且 经 过 50% 的 时 间 后 ， 殊 
被 判定 为 旧 数 


据 吧 ! 


[root@www ~]# vim /etc/squid/squid.conf 
refresh_pattern ^ftp: 1440 20% 10080 
refresh_pattern ^gopher: 1440 0% 1440 
refresh_pattern -i (/cgi-bin 小 ?) 0 0% 0 
refresh_pattern \.vbird\. 120 50% 1440 
refresh_pattern . 0 20% 4320 

[root@www ~]# /etc/init.d/squid restart 

0 

主机 名 与 管理 员 的 email 指定 


如 琳 你 的 服务 紫 主 机 名 尚未 决定 ， 因 此 使 用 的 主机 名 在 因特网 上 面 是 
找 不 到 对 应 的 


IP 的 (因为 DNS 未 设 定 )， 那 么 在 预 设 的 squid 设 定 中 ， 鸡 怕 会 无 法 顺 
利 的 启动 。 
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0 


此 时 你 可 以 手动 的 加 入 一 个 主机 名 ， 融 是 透 过 visible_hostname 来 指 
定 。 同 时， 如 


果 客 户 端 使 用 squid 出 现任 何 错误 时 ， 屏 幕 上 都 会 出 现 管理 员 的 email 
让 用 户 可 以 回 


报 。 现 在 假设 主机 名 为 www.centos.vbird 且 管 理 员 的 email 为 


dmtsai@www.centos.vbird ， 此 时 我 们 可 以 这 样 修改 : 


[root@www ~]# vim /etc/squid/squid.conf 

cache_mgr dmtsai@www.centos.vbird <== 管 理 员 的 email 哟 ! 
visible_hostname www.centos.vbird <== 直 接 设 定 主 机 名 喔 ! 
[root@www ~]# /etc/init.d/squid restart 

17.2.5 安全 性 设 定 : 防火 墙 , SELinux 与 黑 名 单 档案 

[ 

防火 墙 得 要 放行 tcp 的 port 3128 


现在 我 们 已 经 设 定 了 让 192.168.100.0/24 及 192.168.1.0/24 这 两 段 来 源 
使 用 


我 们 的 proxy server ， 那 么 想当然 尔 ， 防 火 墙 的 设 定 就 得 要 开放 这 两 段 
使 用 port 


3128 才 行 啊 ! 不 过 你 得 要 特别 注意 ， 并 不 是 开放 防火 墙 就 能 使 用 proxy 


server 的 资 


源 ， 还 得 要 使 用 acl 配合 http_access 才 行 哟 ! 注意 注意 ! 假设 你 已 经 使 
用 了 


iptables.rule ， 那么 修改 的 方法 就 是 这 样 : 


1 


[root@www ~]#vim /usr/local/virus/iptables/iptables.allow 
iptables -A INPUT -i $EXTIF -p tcp -s 192.168.1.0/24 --dport 3128 -j 
ACCEPT 


# 因为 内 网 192.168.100.0/24 本 来 就 是 全 部 都 接受 放行 的 ! 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 
UD 
SELinux 的 注意 事项 


针对 proxy 来 说 ，CentOS 6.x 倒 十 没有 给 予 太 多 的 规则 限制 ， 因 此 似乎 
不 太 需 要 


修订 规则 。 不 过 ，SELinux 的 安全 本 文 在 类 型 部 分 得 注意 。 这 包括 配置 
文件 


(/etc/squid/ 内 的 数据 ) 类 型 是 squid_conf t 的 样式 ， 而 快 取 目 录 的 类 型 


则 是 


squid_cache_t 的 类 型 ， 且 上 层 类 型 Uvarspool/ 应 该 是 要 成 为 var { 之 
类 的 才 行 。 


修改 的 方法 束 是 透 过 chcon 来 处 理 即 可 。 
吕 


net.giang@hotmail.com 


建立 黔 名单 配置 文件 


我 们 在 17.2.3 小 节 里 面谈 到 ， 可 以 透 过 『 dstdomain .domain.name 」 来 
抵挡 不 


想 联机 的 网 站 。 不 过 每 次 都 得 使 用 root 号 份 来 设 定 squid.conf 才 行 。 
那 有 没有 办 


法 额外 处 理 出 一 个 档案 ， 让 想 要 拒绝 联机 的 数据 写 入 ， 这 样 比较 容易 
管理 ， 不 需要 一 


直 去 修改 squid.conf 嘛 ! 有 没有 办 法 可 以 达成 呢 ? 有 的 ， 融 透 过 特定 档 
案 来 处 置 即 可 。 


看 看 底下 这 个 例题 来 修订 一 下 吧 : 
例题 : 


建立 一 个 名 为 /etc/squid/dropdomain.txt 的 档案 ， 内 容 为 拒绝 联机 的 目标 
网 


我 们 之 前 设 定 过 相关 的 网 站 ， 处 理 的 方法 是 直接 将 主机 名 写 入 
squid.conf 中 ， 


现在 我 们 可 以 这 样 修订 : 
[root@www ~]# vim /etc/squid/squid.conf 


# 找到 底下 的 数据 ， 就 是 dropdomain 那 行 ， 约 在 629 行 左右 ， 并 且 修 


这 
acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 


.2 如 果 是 档 名 ， 请 写 绝对 路 径 ， 且 使 用 双 引 号 或 单 引 号 圈 起 
来 ! 


[root@www ~]# vim /etc/squid/dropdomain.txt 


.facebook.com 

.yahoo.com 

# 一行 一 个 domain 名 称 即 可 
[root@www ~]# /etc/init.d/squid reload 


这 个 方法 的 好 处 是 ， 你 可 以 使 用 额外 的 控制 方式 去 修改 


/etc/squid/dropdomain.txt 


这 个 档案 的 内 容 ， 并且 修改 完毕 后 再 使 用 reload 去 加 载 配置 文件 ， 不 
必要 重新 局 动 


(restart)， 因 为 reload 的 速度 比较 快速 。 举例 来 说 ， 鸟 哥 的 专题 生 残 用 
PHP 写 了 


一 支 控制 该 档案 的 网 页 接口 ， 可 以 让 老师 在 上 课时 直接 透 过 网 页 输入 
要 被 控制 的 目标 网 


站 ， 这 样 学 生 束 无 法 在 上 谋 时 联机 到 外 面 的 某 些 网 站 去 玩 游戏 嘱 一 
17.3 客户 器 的 使 用 与 测试 


既然 proxy 征 给 浏览 右 用 的 ， 那 么 目 然 在 浏览 右上 面 就 需要 设 定 一 些 参 
数 史 1! 那 


么 如 何 设 定 呢 ? 由 于 不 同 的 浏 氏 器 在 设 定 Proxy 的 地 方 也 都 不 同 ， 所 
以 属 下 我 们 介绍 


目前 比较 稼 见 的 两 款 浏览 器， 分 别 和 是 firefox 以 及 下 的 设 定 ， 至 于 其 他 
的 浏 蜗 锋 ， 


请 参考 各 浏 蜗 强 的 相关 说 明 啊 ! 
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[ETTETTITT ox 
档案 巴 有 历史 他 ” 书 竹 号 ,工具 避 说 明 呈 
ep) wm 0D ca 
附加 元 件 包 ) CtrltShiftta 
恒定 Sync (OY 


JavaConsole (TD 

错误 主 控 台 ( 忆 ) Ctrl+ShifttT 
筒 真主 控 台 (加 ) Ctrl+ShiftttK 
页 面 次 讯 人 D 


并 娩 秘 密 浏 览 也 Ctrl+ShitttP 
清除 最 近 的 历史 记 锋 (EE)*… CtltshitttDel 


17.3.1 浏览 器 的 设 定 : firefox & IE 


吕 
firefox 5.x 的 设 定 示意 


要 在 firefox 5.X 上 面 设 定好 proxy 基本 步骤 是 这 样 的 : 首先 打开 firefox 
软 


件 ， 出 现 如 下 的 图 标 后 ， 点 选 ，『 工 具 」 内 的 『 选 项 1 ， 示意 画面 如 
下 所 示 : 


图 17.3-1、 在 firefox 上 头 设 定 proxy 的 流程 


然后 在 出 现 的 如 下 画面 中 ， 先 选择 右上 方 的 『 进 阶 4 项 目 ， 然 后 点 选 
『 网 络 J 页 面 ， 


最 后 再 点 选 联机 的 『 设 定 J 按钮 ， 如 下 图 所 示 ， 依 序 来 动作 : 
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一 _| a Pr 
口 甸 本 国名 四 Bs 
内 容 。 谭 用 程式 ”个 作 隆 秘 安全 同步 
-入 尖 ] 
F「 连 贸 
恒定 Firefox 要 如 何 连 到 简 路 
六 玄 镍 资料 甬 存 
您 的 磁 礁 快 取 正在 使 用 43.5 MB 空间 3 
厂 和 停 用 自动 快 取 管理 冯 ) 
限制 快 取 夫 小 营 吕 | 1024 刁 BE 的 空 再 

[|v 若 粒 站 要 求 储存 资料 以 供 雇 粮 使 用 时 告诉 我 (I) 便 外 袜 站 区 )… | 
下 列 狗 站 已 蔚 存 资料 以 供 麟 粮 使 用 : 


立刻 清除 如) | 


黎 | 呈 NE | 


图 17.3-2、 在 firefox 上 头 设 定 proxy 的 流程 


此 时 就 会 出 现 如 下 图 所 示 的 要 你 输入 代理 服务 器 的 相关 数据 。 请 先 点 
选 『 手 动 设 定 J 


之 后 才能 够 填写 克 下 的 方 格 。 填 上 我 们 服务 器 的 IP ( 乌 哥 的 案例 中 ， 
使 用 的 是 


192.168.1.100 这 一 部 ) 以 及 塌 口 ， 然 后 鸟 哥 建议 你 也 可 以 义 选 『 所 有 通 
讯 协 议 都 用 此 


proxy 4 的 项 目 ， 痢 设 定 妥 当 后 ， 才 按 下 确定 。 如 下 图 所 示 的 流程 : 
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192.168.1.100 


可 


pe troy IL): | (有 
pTp Pr FH. port (RY 


(SOCKS vy EE) We NOCKN YD OO 
localhost, 127.0.0.1 


图 17.3-3、 在 firefox 上 头 设 定 proxy 的 流程 
这 样 就 设 定好 firefox 的 proxy 相关 数据 了 ， 有 人 够 简单 吧 ! 


0D 
IE 的 设 定 示 意 


那么 IE 要 怎么 设 定 呢 ? 也 是 很 简单 啦 ! 首先 ， 打开 下 软件， 你 会 看 
到 如 下 的 示 


意图 ， 点 选 【 工 具 4 内 的 【因特网 选项 4 ， 流程 如 下 所 示 : 
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档案 四 ”编辑 巴 ， 核 视 公 ) ”我 的 最 要 凶 ) | 工具 (了 T) 说 明 妈 Xx 后 > 
六 我 的 最 要 。 把 空白 页 


删除 浏览 芍 程 记 儿 号)... Ctrl+ShiftttDel 
InPrivate 淹 竖 四 Ctrl+ShitttP 

重新 闻 避 上 次 的 浏 贤 工 作 阶 段 侣 
InPrivate 饰 选 Ctrl+shitt+F 
InPrivate 饰 选 让 定 仿 ) 
快 显 封 冲程 式 全 ) 
Smartscreen 饰 先 (TT) 上 
管理 附加 元 件 名 ) 
相 容 性 核 视 [ 殉 
相 容 性 榨 视 设 定 量 ) 


避 交 此 摘 雪 [四 天 
摘 安 搜 这 0 2 
Windows Update (DU) 


开发 者 工具 民 ) 


Windows Messenger 
诊断 连 牧 问题 .… 


狗 际 糙 路 选项 上 D) 


图 17.3-4、 在 正 上 头 设 定 proxy 的 流程 


在 接 下 来 的 窗口 中 ， 点 选 『 联 机 J 的 页 面 ， 然 后 按 下 『 局 域 网 络 设 
定 J」 的 按钮 。 流 


程 如 下 所 示 : 
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| 秽 际 秽 路 瀑 项 | 
一 般 ”| 安全 性 | 隐私 权 | 内 容 。 连 牧 “| 程式 集 | 进 阶 | 


芝 要 哉 定 糙 际 移 路 圳 入 :请 按 蜂 装 ] * 安装 四 


搓 号 及 虚 撑 私人 撞 路 设 定 值 


如 果 和 您 恕 定 连 镍 时 必须 怠 定 proxy 伺服 器 ' 请 
选择 尽 定 值 ]* 


从 (7 汪 了 直线 于 4) 
篇 简 路 沁 神 太行 在 时 所 路 WW 9 
售 小 还 使用 注 误 的 韦 视 (@) 


目前 的 预 玻 值 : 经 EE 
区 域 阐 路 LLAN) 变 定 


画 域 独 路 恋 定 不 可 厌 用 到 反 号 圳 乡 * 请 选择 
上 上述 让 下 来 进行 扩 就 识 定 。 


图 17.3-5、 在 正 上 头 设 定 proxy 的 流程 


二 就 是 要 输入 正确 的 proxy server 的 IP 与 port 的 相关 数据 啊 ! 如 下 
所 示 ， 


先 点 选 箭头 1 所 指定 的 项 目 ， 然 后 才能 够 开始 填写 正确 数据 。 一般 来 
说 ， 近 端 网 址 ( 例 


人 过 proxy 去 所 取 数据 ， 因 此 这 里 可 以 勺 选 箭 
头 三 所 示意 


方 框 喔 ! 这 样 吏 设 定 完 毕 。 
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[TFTTE3 x| 


自动 恕 定 
是 * 要 确保 使 用 手动 恋 定 ， 请 停 用 自动 评 


厂 自动 值 测 讼 定 起 ) 
厂 使 用 自动 组 驴 指 合 码 仿 ) 


的 区 域 看 路 使 用 洁 些 屋 恬 将 不 全 套用 到 
vy 后 训 或 PP 速 穆 ) 区 ) 2 4 


位 址 BJ192.168.1.100 过 接 埠 (T):[3128 进 障 忆 ) | 
| 近 端 料 址 不 使 用 ProxyiBB) 


3 | 


图 17.3-6、 在 正 上 头 设 定 proxy 的 流程 


接 下 来 让 乌 哥 用 firefox 来 测试 一 下 ， 如 果 你 要 连 的 网 站 是 被 拒绝 的 会 
如 何 ? 


17.3.2 测试 proxy 失败 的 画面 


开始 利用 你 的 浏览 器 来 浏览 各 个 网 站 ， 基 本 上 你 都 会 发 现 正确 的 网 站 
内 容 。 但 如 果 


你 要 连 的 网 站 是 刚刚 被 拒绝 的 呢 ? 举例 来 说 ， 刚 刚 我 们 有 设 定 拒绝 连 


回 .yahoo.com 


的 喔 ! 那么 如 果 你 真 的 输入 网 址 是 tw.yahoo.com， 那 屏幕 上 应 该 是 会 这 
样 输出 的 ! 
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€ 3 | hpity yahoo.com 


ERROR 习 


“The requested URL could not be 
retrieved 


The following error 了 AR while trying to retrieve the URL: 
http; ity ,yahoo,com ps 3 


欲 连结 之 移 站 的 存 取 控制 谈 定 目前 禁止 了 您 的 连 御 要 求 ' 如 芝 您 觉得 得 到 过 检 的 讯息 站 个 
正确 ' 请 与 提供 网 路 服务 的 管理 者 联 避 * 


Your cache administrator is dmtsal@w ww .centos,ybird, 


Generated Tue, O02 上 ug 2011 06;:51:03 GMT by www.centos,vbird (squid/3,1.4) 


D 
图 17.3-7、 联 机 被 proxy 拒绝 时 的 反应 情况 


从 上 图 我 们 可 以 发 现 ， 目 标 网 站 是 tw.yahoo.com， 然 后 产生 问题 的 地 方 
在 于 『 存 


取 被 拒绝 (Access Denied) 4， 表示 问题 的 发 生 在 于 proxy 的 设 定 ， 然 
后 系 2 NILLD 充 还 很 好 


心 的 告诉 你 管理 员 (cache administrator) 的 email ， 让 你 有 问题 可 以 回报 
给 他 。 最 


后 ， 这 个 信息 是 否 为 新 的 ? 底下 还 会 告诉 你 这 个 错误 发 生 的 时 间 点 
呢 ! 这 样 有 没有 很 请 


楚 啊 ? 和 人 人! proxy 的 错误 不 只 是 这 些 ， 因 此 ， 当 你 还 有 发 现 无 法 联机 
的 网 站 时 ， 请 


务必 要 看 看 屏幕 的 输出 信息 才 好 哆 ! 
17.4 服务 絮 的 其 他 应 用 设 定 


除 a proxy 设 定 之 外 ， 如 采 你 还 有 其 他 可 供 利用 的 上 层 代 理 服务 
人 器， 说 不 


定 我 们 束 能 够 设计 一 下 如 何 进行 分 流 的 动作 了 ! 此 外 ， 如 采 针 对 信任 
用 户 来 说 ， 难 道 


得 要 一 直 使 用 acl 直接 指定 用 户 来 源 然 后 再 用 http_access 放行 ? 有 没有 
认证 功能 


啊 ? 这 样 束 不 用 一 下 修改 设 定 啊 ! 这 些 其 它 的 应 用 设 定 在 这 个 小 世 来 
谈 谈 吧 | 


17.4.1 上 层 Proxy 与 获取 数据 分 流 的 设 定 
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0 的 上 层 proxy 服务 器 我 们 在 17.1.3 里 面谈 过 了 ， 你 可 以 重新 回 
去 瞧 瞧 。 


不 过 ,假设 你 所 在 的 环境 并 没有 上 层 代理 服务 器 ， 但 是 你 有 两 部 Linux 
主机 放置 在 不 


同 的 ISP 环境 下 ， 这 两 个 ISP 对 菏 些 国外 的 市 宽 流 量 不 同 ， 所 以 你 想 
要 根据 这 样 的 


情况 来 设计 一 下 获取 WWW 网 页 的 分 流 时 ， 可 以 怎么 做 ? 我 们 举 个 例 
子 来 说 好 了 : 


DO hinet.centos.vbird: 这 部 主机 位 于 hinet 这 个 ISP 改 下 ， 对 大 陆 (.on) 
的 流量 比较 高 ， 作 为 上 层 代理 服务 器 之 用 ; 


0 www.centos.vbird: 这 部 主机 位 于 学 术 网 络 (昆山 科大 )， 因 为 对 大 陆 
市 宽 
被 限制 ， 因 此 浏览 速度 相对 较 慢 。 


现在 我 们 规划 hinet.centos.vbird 是 上 层 代 理 服 务 器 ， 因 此 这 部 主机 得 要 
开放 


www.centos.vbird 这 部 机 器 的 使 用 权 ， 这 动作 包括 : (1) 利 用 acl 
srcdomian 等 方 


式 放 行 www.centos.vbird 的 使 用 权 ; (2) 开 放 www.centos.vbird 的 port 
3128 的 


防火 墙 过 滤 功 能 。 如 此 一 来 ， 我 们 这 部 www.centos.vbird 才能 够 使 用 上 
层 代 理 服务 需 


喔 ! 也 就 是 说 ， 这 两 部 主机 都 要 是 你 能 够 掌握 的 才 行 (至 少 也 要 上 层 
ISP 能 够 蔡 你 开 


放 使 用 权 啦 )。 
那么 www.centos.vbird 要 如 何 设 定 呢 ?基本 上 ， 设 定 上 层 代 理 服务 器 与 


分 流 的 参 


数 主要 有 : cache_peer cache_peer_domain, cache_peer_access 等 ， 分 另 


说 明 语 法 

ws 

四 

cache_peer 的 相关 语法 


cache_peer [上 层 proxy 主机 名 ] [proxy 角色 ] [proxy port] [icp port] [额外 


aa 


这 个 设 定 值 就 是 在 规范 上 层 代 理 服务 器 在 哪里 ， 以 及 我 们 想 要 对 这 音 
代理 服务 器 如 何 胡 


询 的 相关 设 定 值 。 

0 上层 proxy 主机 名 : 例如 本 案例 中 就 是 hinet.centos.vbird 这 一 部 哆 ; 

0 proxy 角色 : 这 部 proxy 是 我 们 的 上 层 (parent) ? 还 是 作为 我 们 邻近 
Ce 的 协力 运作 的 proxy ? 因为 我 们 要 利用 上 层 去 提取 数据 ， 因 此 


使 用 的 是 parent 这 个 角色 值 ; 


D proxy port 通常 束 是 3128 嘛 ! 


U icp port: 通常 束 是 3130 听 ! 


et | 参数: 针对 这 部 上 属 proxy 我 们 想 要 对 它 进行 的 查询 数据 的 行为 
设 定 。 


主要 有 : 

o proxy-only: 向 上 层 proxy 要 到 的 数据 不 会 快 取 到 本 地 的 proxy 服 
务 器 内 ， 降 低 本 地 proxy 负担 ; 
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o wieght=n: 权重 的 意思 ， 因 为 我 们 可 以 指定 多 部 上 层 Proxy 主机 ， 
哪 一 部 最 重要 ? 就 可 以 利用 这 个 weight 来 设 定 ，n 越 大 表示 这 部 Proxy 
越 重 要 

o no-query: 如 果 向 上 层 Proxy 要 求 资料 时 ， 可 以 不 需要 发 送 icp 封 
包 ， 以 降低 主机 的 负担 

o no-digest 表示 不 向 附近 主机 要 求 建立 digest 纪录 表格 

o no-netdb-exchange: 表示 不 向 附近 的 Proxy 主机 送出 imcp 的 封包 
要 求 

0 

cache_peer_domain 的 相关 语法 

cache_peer_domain [上 层 proxy 主机 名 ] [要 求 的 领域 名 ] 


这 个 设 定 值 的 意思 是 说 ， 你 想 要 使 用 这 部 上 层 代 理 服务 器 向 哪个 领域 
名 要 求 数据 。 


吕 
cache_peer_access 的 相关 语法 
cache_peer_access [上 层 proxy 主机 名 ] [alowldeny] [acl 名 称 ] 


与 cache_peer_domain 相当 类 似 ， 只 是 cache_peer_domain 直接 规范 了 
主机 名 


(domain name)， 而 如 琳 你 想 要 设计 的 并 非 领 域名 ， 而 是 菏 些 特定 的 IP 
网 段 时 ， 殊 得 


要 先 用 acl 设计 一 个 名 称 后 ， 再 以 这 个 cache_peer_access 去 放行 
(allow) 或 拒绝 


(deny) 读 取 J 了。 


根据 上 述 的 语法 说 明 ， 那 么 我 们 想 要 达到 .cn 使 用 hinet.centos.vbird 这 
部 服 


务 絮 的 代理 功能 时 ， 应 该 要 这 样 设计 的 : 

[root@www ~]# vim /etc/squid/squid.conf 

cache_peer hinet.centos.vbird parent 3128 3130 proxy-only no-query 
no-digest 

cache_peer_domain hinet.centos.vbird .cn 


[root@www ~]# /etc/init.d/squid reload 


如 果 你 还 有 其 它 的 需求 再 利用 acl 规范 了 目标 位 置 后 ， 再 以 


cache_peer_access 去 放 


行 吧 ! 如 此 一 来 ， 你 的 proxy server 就 是 一 部 会 主动 的 依据 不 同 的 要 求 
回 不 同 的 上 


层 服 务 器 求 取 数 据 的 聪明 proxy 哆 ! 
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oO 
17.4.2 Proxy 服务 放 在 NAT 服务 器 上 : 通 透 式 代理 (Transparent Proxy) 


从 上 面 的 说 法 来 看 ， 我 们 可 以 发 现 proxy 可 以 做 到 类 似 防火 墙 的 功能 
(acl dst, 


acl dstdomain 再 配合 http_access 处 理 )， 但 是 ， 我 们 也 知道 浏览 器 得 要 
设 定好 


proxy 之 后 ， 才 会 真 的 使 用 proxy 嘛 ! 那 就 不 就 是 在 要 宝 用 的 防火 墙 
吗 ? 只 要 你 的 用 


户 知 道 不 要 设 定 proxy 吕 C 可 以 哄 过 你 的 管控 ， 那 这 部 proxy 防火 场 有 喻 
屁 用 啊 ? 您 说 


是 吧 ? 


那 该 如 何 强制 使 用 者 一 定 要 使 用 你 的 proxy 呢 ? 很 简单 ! 那 束 是 : (1) 
在 对 外 的 


防火 墙 服务 器 (NAT) 上 面 安装 proxy; (2) 在 proxy 上 头 局 动 transparent 
功能 ; 


(3) NAT 服务 袁 加 上 一 条 port 80 转 port 3128 的 规则 ， 如 此 一 来 ， 所 有 
往 port 80 


的 封包 就 会 被 你 的 NAT 转向 port 3128 ， 而 你 的 port 3128 就 是 proxy 
， 那 大 家 


就 得 要 用 你 的 proxy ， 而 且 重 点 是 ， 浏 览 右 不 需要 进行 任何 设 定 ! 


呵呵 ! 也 就 是 说 ， 当 使 用 者 是 经 过 NAT 服务 器 联机 出 去 时 ， 只 要 让 
NAT 服务 器 发 


现 『 了 号 ! 你 是 要 去 捉 WWW 的 资料 对 吧 ! 好 ! 那么 这 个 动作 由 Proxy 
服务 帮 你 搞定 ! 4 


如 此 一 来 ， 使 用 者 根本 就 不 需要 在 浏览 右上 面 设 定 Proxy 的 相关 数 
据 ， 因 为 这 个 动作 


征 『 由 NAT 服务 瑚 目 己 决定 的 4 ， 所 以 只 要 在 NAT 服务 如 上 面 设 定 
妥当 即 可 ， 使 用 者 


不 必 设 定 任何 数据 呢 ! 呵呵 ! 真是 不 错 ! 而 且 进 行 的 动作 非常 简单 ! 
#1. 设 定 proxy 成 为 通 透 式 代理 服务 絮 的 功能 ! 


[root@www ~]# vim /etc/squid/squid.conf 

http_port 3128 transparent 

# 找到 3128 这 行 后 ， 在 最 后 面 加 上 transparent 即 可 
[root@www ~]# /etc/init.d/squid reload 


接 下 来 ， 将 来 自 192.168.100.0/24 这 个 内 网 的 来 源 ， 只 要 是 要 求 port 80 
的 ， 就 将 


它 重 新 导 同 port 3128 的 方式 为 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -t nat -A PREROUTING -i $INIF -s 192.168.100.0/24 -p tcp \ 
--dport 80 -j REDIRECT --to-ports 3128 

# 将 上述 这 一 行 加 在 最 压 下 /etc/init.d/iptables save 的 上 面 一 行 即 可 ! 
[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 样 束 结束 啦 ! 很 商 单 吧 ! 通常 这 样 的 环境 相当 适合 学 校内 的 教室 或 
者 是 计 中 的 环境 ， 


因为 这 样 学 校内 部 根本 不 需要 请 学 生 设 定 浏览 器 的 proxy 功能 ， 立 刻 就 
能 够 达到 我 们 


所 需要 的 管控 能 力 ! 很 棒 吧 ! 不 过 ,虽然 这 样 的 功能 已 经 很 檬 了 ， 但 
征 乌 可 实际 用 在 
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学 校 教 室 环境 中 却 发 现 了 一 些 问 题 ， 那 就 是 很 多 同学 同时 上 传 同一 个 
档案 到 外 部 服务 


稻 去 ， 因 为 proxy 快 取 的 功能 ， 结 采 让 学 生 一 直 取 得 旧 的 档案 ， 对 于 
教 网 页 制作 的 老 


师 来 说 ， 很 困扰 一 因为 教学 过 程 中 常 冲 需要 上 传 最 新 的 网 页 嘛 ! 但 是 
proxy 快 取 住 ， 所 


以 却 得 到 错误 的 数据 了 一 那 寿 办 ? 
0 
仅 具 有 proxy 无 快 取 功 能 的 代理 


既然 我 们 这 个 transparent proxy 的 目的 仅 是 在 进行 控 管 ， 并 不 要 去 处 理 
快 取 的 


任务 (因为 带宽 假设 是 够 的 )， 那么 干脆 就 不 要 快 取 啦 ! 这 样 不 就 OK 
啦 ? 好 吧 ! 那 我 


当 ， 那 么 接 下 来 束 是 让 你 的 快 取 目 永 空 到 如 也 ， 且 再 也 不 写 入 任何 货 
料 。 此 外 ， 也 不 


要 有 多 余 的 内 存 来 记录 热门 档案 啦 ! 


# 先 关闭 squid ， 然 后 删除 快 取 目 孙 ， 之 后 再 重建 快 取 目 孙 ， 此 时 快 取 
目 永 束 至 


J 

[root@www ~]# /etc/init.d/squid stop 

[root@www ~]# rm -rf /var/spool/squid/* 

[root@www ~]# vim /etc/squid/squid.conf 

cache_dir ufs /var/spool/squid 100 16 256 read-only 

#cache_dir ufs /srv/squid 2000 16 256 

# 额外 的 那个 /srv/squid 批注 挥 ， 然 后 第 一 行 多 个 read-only 字样 ! 
cache_ mem 0 MB 

# 本 来 规范 有 32MB ， 现 在 不 要 了 ! 

[root@www ~]# /etc/init.d/squid start 


如 此 一 来 ， 这 部 proxy 就 再 也 没有 快 取 了 ， 全 部 资料 都 得 要 自己 向 外 头 
捉 取 ! 就 不 会 


有 旧 数 据 重 复出 现 的 问题 一 
17.4.3 Proxy 的 认证 设 定 


既然 proxy 有 许多 功用 ， 包 括 分 流 的 功能 ， 很 不 赖 啊 ! 但 是 ， 由 于 网 络 
内 人 越 来 

越 多 ， 因 此 proxy 不 可 以 设计 为 open proxy ! 亦 即 是 不 能 够 开放 所 有 的 
人 使 用 你 的 


proxy 啦 ! 所 以 ， 一 般 来 说 ， proxy 只 会 开放 内 部 网 域 的 人 们 来 使 用 而 


已 。 问题 是 ， 


如 果 我 在 Intemet 也 想 要 使 用 这 部 自己 架设 的 proxy 时 ， 该 如 何 是 好 ? 
还 得 要 再 次 


的 修改 squid.conf 吗 ? 有 没有 这 么 麻烦 ? 
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没关系 啦 ! 为 了 这 个 问题 ， squid 官方 软件 已 经 给 予 了 认证 的 设 定 功 
能 ! 意 即 我 


们 可 以 透 过 认证 来 简单 的 输入 账号 密码 ， 若 通过 验证 ， 束 可 以 立刻 使 
用 我 们 的 proxy 


了 ! 这 样 融 好 多 啦 ! 那 如 何 达 成 呢 ? 其 实 squid 提供 很 多 认证 功能 
我 们 需要 的 是 最 


简单 的 功能 即 可 。 使 用 的 是 squid 主动 提供 的 ncsa_auth 认证 模块 ， 这 
个 模块 会 利用 


apache (WWW 服务 絮 ) 提供 的 帐 密 建立 指令 (htpasswd) 所 制作 的 密码 
文件 作为 验证 


依据 。 所 以 ， 我 们 至 少 需 要 检查 有 没有 这 两 样 东西 : 


[root@www ~]# rpm -ql squid | grep ncsa 


/usr/lib64/squid/ncsa_auth <== 有 的 ! 就 是 这 个 验证 模块 档案 ! 注意 完 
整 路 径 

/usr/share/man/man8/ncsa_auth.8.gz 

[root@www ~]# yum install httpd <==apache 软件 安装 

[root@www ~l# rpm -ql httpd | grep htpasswd 

/usr/bin/htpasswd <== 束 是 需要 这 个 帐 密 建 并 指令 ! 


/usrshare/man/man1/htpasswd.1.gz 


这 样 的 事前 准备 束 差 不 多 了 “。 让 我 们 来 考虑 一 个 案例 好 了 : 

0 内 部 网 域 192.168.100.0/24 要 使 用 proxy 的 ， 还 是 不 需要 透 过 验证 ; 
0 外 部 主机 想 要 使 用 proxy (例如 192.168.1.0/24 这 段 ) 才 需 要 验证 ; 

0 使 用 NCSA 的 基本 身份 验证 方式 ， 且 密码 文件 建立 在 
/etc/squid/squid_user.txt 

D 上述 档 案 仅 有 一 个 用 户 vbird ， 他 的 密码 为 1234 

那 该 如 何 处 理 呢 ?开始 来 一 步 一 步 进行 吧 : 

#1. 先 修改 squid.conf 档案 内 容 

[root@www ~]# vim /etc/squid/squid.conf 

#1.1 先 设 定 验 证 相关 的 参数 

auth_param basic program /usr/lib64/squid/ncsa_auth 
/etc/squid/squid_user.txt 

auth_param basic children 5 

auth_param basic realm Welcome to VBird's proxy-only web server 

# 非特 殊 字 体 为 天 键 词 不 可 更 动 ， 第 一 行为 透 过 ncsa_auth 读 取 
squid_user.txt 密码 

# 第 二 行为 启动 5 个 程序 (squid 的 子 程序 ) 来 管理 验证 的 需求 ; 

# 第 二 行为 验证 时 ， 显 示 给 用 户 看 的 欢迎 讯 尽 ， 这 三 行 可 写 在 最 上 面 ! 
# 1.2 然后 是 针对 验证 功能 放行 与 否 的 acl 与 http_access 设 定 


acl vbirdlan src 192.168.100.0/24 <== 修 改 一 下 ， 取 消 192.168.1.0/24 


acl dropdomain dstdomain "/etc/squid/dropdomain.txt" 
acl dropsex urlpath_regex /sexy.*jpg$ 
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二 要 扳 生 上 


Proxy moz-proxy%l92.168.1.100:3128 要 求 输 入 帐 吕 及 密码 ， 该 Proxy 襄 : "Welcome to YBird's 
proxy-only web server” 


使 用 者 名 焰 : | vbird 


Eee Ce 
Mm | 


2 

acl squid_user proxy_auth REQUIRED <== 建 立 一 个 需 验 证 的 acl 名 称 
http_access deny dropdomain 

http_access deny dropsex 

http_access allow vbirdlan 

http_access allow squid_user <== 请 注意 这 样 的 规则 顺序 喔 ! 验证 在 
最 后 

# 2. 建立 密码 数据 

[root@www ~]# htpasswd -c /etc/squid/squid_user.txt vbird 

New password: 

Re-type new password: 


Adding password for user vbird 


# 第 一 次 建立 才 需 要 加 上 -c 的 参数 ， 否 则 不 需要 加 上 -c 喔 ! 


[root@www ~]# cat /etc/squid/squid_user.txt 
vbird:vRC9ie/4E21c. <== 这 就 是 用 户 与 密码 喝 ! 
[root@www ~]# /etc/init.d/squid restart 


比较 需要 注意 facl squid_user proxy_auth REQUIREDJ 这 一 串 设 定 ， 
proxy_auth 是 


天 键 词 ， 而 REQUIRED 则 是 指定 任何 在 密码 文件 内 的 用 户 都 能 够 使 用 
验证 的 意思 。 如 有 宁 


一 切 顺 利 的 话 ， 那 么 你 的 内 网 依旧 可 以 使 用 transparent proxy ， 而 外 网 
则 需要 输入 


账 密 才能 够 使 用 proxy server 提供 的 代理 能 力 。 至 于 验证 的 过 程 有 点 像 


这 样 
图 17.4-1、 使 用 proxy 需 验 证 的 示意 图 


上 图 中 箭头 1 为 刚刚 你 设 定 的 real 内 容 ， 而 帐 窗 则 是 你 用 htpasswd 所 
建立 的 


数据 啦 ! 另外 ， 既 然 已 经 加 上 了 验证 功能 ， 那 么 你 可 能 得 要 将 防火 墙 
开放 port 3128 对 


全 世界 监听 的 过 滤 才 行 哟 ! 防火 墙 还 古 不 要 起 记 了 ! 和 和 


17.4.4 末端 登录 档 分 析 : ”sarg 
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、 squid 已 经 收集 了 众多 的 登录 文件 分 析 软 件 了 ， 而 且 大 多 是 免 


四 居 


装 与 分 析 


你 的 squid 登 孙 档 喔 ! 乌 哥 这 里 仅 介绍 一 父 相 当 强 的 分 析 软 件 ， 那 残 


是 sarg 。 


Squid Analysis Report Generator (Squid 分 析 报 告 制作 者 )， 他 的 官方 网 站 
窒 ， 


http://sarg.sourceforge.net/sarg.php 
logfile 拿 


出 来 ， 然 后 进行 一 下 解析 ， 依 据 不 同 的 时 间 、 网 站 、 与 热门 网 站 等 等 
来 进行 数据 的 输出 ， 


由 于 输出 的 结 采 实在 是 太 详细 了 1! 所 以 ... 呵 呵 ! 如 果 你 是 老板 的 话 ， 用 
这 个 软件 会 让 


你 『 爱 不 释 手 」 啊 ! 因为 每 个 人 的 每 个 小 动作 都 会 被 记录 下 来 ， 我 的 
天 呐 ! 当 我 第 一 


次 看 到 这 个 分 析 的 画面 时 ， 真 的 给 他 吓 了 老大 一 跳 得 说 一 因为 连 每 个 
IP 在 【每 个 小 时 


所 连 上 的 每 个 网 站 数据 4 都 有 纪录 一 一 害 人 了 吧 一 


不 过 ， 有 优点 束 有 缺点 啦 ! 怎么 说 呢 ? 因 为 SARG 功能 太 强 大 了 ， 所 
以 记录 的 『 数 

据 量 1 就 实在 是 多 了 点 ， 如 果 你 的 Proxy 网 站 属于 那 种 很 大 流量 的 网 
站 时 ， 那 么 就 不 

要 使 用 『 日 报表 4 ， 也 就 是 每 天 产生 一 份 报表 的 那 种 方式 ! 那么 由 于 
数据 一 天 可 能 会 

有 几 MB 的 数据 ， 一 两 个 月 还 没有 关系 ， 如 采 记 录 了 几 年 ， 那 么 光 是 


这 些 记录 了 吏 会 化 挥 


好 几 GB 的 硬 盘 至 间 了 一 此 外 ， 也 可 以 使 用 了 黎 兰 旧 有 数据 4 的 方式 
不 要 留存 旧 数 据 ， 


这 样 也 可 以 节省 硬盘 的 空间 啦 ! 


在 的 官网 上 面 已 经 有 朋友 蔡 大 家 将 RPM 的 档案 制作 出 来 了 ， 你 
可 以 参考 : 


http://packages.sw.be/sarg/ 网 站 内 的 档案 。 由 于 乌 哥 用 的 是 CentOS 6.x 
64 位 版 


本 ， 但 截至 本 日 为 止 (2011/08) 这 个 网 站 尚未 释 出 稳定 的 CentOS 6 版 
本 ， 因 此 乌 哥 


下 载 的 是 sarg-2.2.3.1-1.el5.rf.x86_64.rpm 这 个 版 本 。 你 可 以 使 用 wget 
下 载 到 


/root 底下 ， 再 用 rpm -ivh 去 安装 起 来 即 可 。 这 个 软件 默认 会 将 


/Var/www/sarg 作 


为 输出 报表 的 目标 ， 而 且 你 必须 要 安装 与 局 动 WWW 服务 器 ， 至 于 网 
址 列 则 是 : 


http://your.hostname/sarg 去 查阅 。 压 下 让 我 们 来 处 理 sarg 的 配置 文件 
吧 1 


[root@www ~]# yum install gd 

[root@www ~]# rpm -ivh sarg-2.2.3.1-1.el5.rf.x86_64.rpm 
[root@www ~]# vim /etc/sarg/sarg.conf 

title "Squid 使 用 者 存 取 报告 " <== 第 49 行 左 右 

font_size 12px <== 第 69 行 左 右 

charset UTF-8 <== 第 353 行 左 右 

#1. 一 口气 制作 所 有 登录 文件 内 的 数据 报表 


[root@www ~|]# sarg 


SARG: Records in file: 2285, reading: 100.00% <== 列 出 分 析 信息 

#2. 制作 8 月 2 日 的 报表 

[root@www ~]# sarg -d 02/08/2011 

# 这 两 个 范例 ， 都 会 将 数据 丢 到 /var/www/sarg/ONE-SHOT/ 底下 去 ; 
# 3. 制作 昨天 的 报表 

[root@www ~]# sh /etc/cron.daily/sarg 
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squid Users Access Report ~- Mozilla Firefox 


档案 (E) 编辑 (E) 检视 (V) 压 史 (S) 书 猴 (B) 工具 CI) 说 明 (H) 


后 落 > 6 人 A | 国 http:/ocalhost/sarg/ | | 区 


图 最 常 浏览 ” | 人 @CentOSs 售 Support 


赎 Squid Users Access Report 时 ] | 
9 Squid User's Access Report 
DIRECTORY DESCRIPTION 
ONE-SHOT One shot reports 
daily Daily reports 
3 _ 本 weekly Weekly reports 
monthly Monthly reports 


Squid Analysis Report Generator 


Squid 使 用 者 存 取 报告 

CREATION DATE USERS| BYTES| AVERAGE 
?| 五 J 月 8 17:4105 CST 20n| 1]| 17ay| 174M 
-2011Apr08| 五 4 月 8 17:4022 CST 2011 3 20.83M 694M 


Generated by sarg—22.4.] Jan-02-2007 on Apr/08/2011 17:41 


FILE/PERRIOD 


# 这 个 范例 则 是 将 每 天 的 数据 放置 于 /var/www/sarg/daily/ 的 下 去 ! 


如 采制 作 好 相关 数据 ， 由 于 sarg 这 个 RPM 档案 已 经 帮 我 们 设 定好 了 每 
日 关 每 风 * 


月 进行 一 次 执行 ， 所 以 你 可 以 不 用 管 怎么 执行 啦 ! 非常 的 方便 ! 如 果 
想 要 查阅 数据 ， 


只 要 在 proxy server 端 输入 http://your.hostname/sarg 会 看 到 如 下 画面 : 


图 17.4-2、sarg 报表 观察 示意 图 


如 上 所 示 ， 在 网 址 列 输入 服务 事 本 机 的 吃 吃 ， 然 后 会 看 到 几 个 连结 。 
与 我 们 有 关 的 


是 ONE-SHOT 以 及 daily 两 个 ， 我 们 来 瞧 瞧 ONE-SHOT (第 头 2 所 指 ) 
里 面 有 喻 吃 吃 ? 


按 下 去 会 看 到 下 图 : 
图 17.4-3、sarg 报表 观察 示意 久 


如 上 图 所 示 ， 因 为 我 们 刚刚 测试 执行 过 两 次 sarg 的 指令 ， 所 以 这 里 会 
有 两 个 时 间 


的 连结 。 我 们 先 看 看 总 和 数据 ， 亦 即 图 中 箭头 所 指 的 地 方 ， 会 出 现下 
图 的 说 明 : 
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Mo |usERID NNECT| BYTES | BYTES| IN-CACHE-OUT| ELAPSED TIME|MILISEC| %TIME| 
_ lh We elientcentosvbird| 174| loss s2sri oom| 090s| oootto| 。 70297| 10199| 
_ 2 th W| ,sir | aas| a9ry| 2390%| oors| sasas| oo0220| 140.387| 203sa| 
_ 直 且 W| :ezaestao | i130x| ao0u| 23s3%| or oe20| oow0mse| 479218| cgsea| 
TOTAL | 2.33k| 20.83J _0.19%| 99.81%| 00:11:29| 689.902| 
AVERAGE | 779| 6.94xl 00:03:49| 229.967| 


Generated by sarg~2231 Jan-02-2007 on Apr/08/2011 17240 


Squid 使 用 者 存 取 报告 
Period: 2011A ~2011N 
User: client.centos.vbird 
Sort: BYTES, reverse 


ACCESSED SITE | cowwEcT |BYTESs | BYTES|IN-CACHE-OUT| ELAPSED TIME| MILISEC|%TIME | 
WW | satebronsing -cache googlecon | 98| iosay| 96am| _ oo00| 10000| ey a1445 | 44Tas| 
WwW | vikicentosors | 22| 1r2swx| 1s7%| ooos| 10000%| oo0ns| 15328| 21.80%| 
WW | wwwcenrtosors | 17 | 16989k| isss| ooos| ioooos| oo00rts| isa17| 22sou| 
WW | safebronsing clients sooglecom| 6| 1898k| oars| ooos| 10000%| oo0000| 280| oars| 
罗 |192168100254 | 6| 1a20k| oass| ooos| ioooos| cow00| 485| os 
WB | centosttcokr | 4| oa6k| oogs| ooos| ioooos| 二 2222| suaet| 


WwW | datanicehostinacokr | 2| soexk| oo0ss| oo00%| 10000% O000n00 如 | oasen| 
WB | -enrosai rrorcdnetworks.com | 3| ao0x| oo0ds| ooos| 100.00%| | s24| QT ss| 
欧 |erestiv ivVecommons.org | 1| 46k| oow%| ooos| i00008| oo000| To6| 1.00%| 
TOTAL | 174|10.95x| 52.57%| 0.01%| 99.99%| | 70.297 | 10.19%| 
AVERAGE | "779| sedy| 00:03:49 | 229.967 | 33.33%| 


Generated by sarg—223l Jan-02-2007 on Apr/08/201l 17:40 


图 17.4-4、sarg 报表 观察 示意 图 


在 该 段 时 间 内 ， 共 有 三 个 用 户 在 存 取 ， 我 们 来 瞧 瞧 client.centos.vbird 
到 底 干 


了 哈 事 吧 ! 
图 17.4-5、sarg 报表 观察 示意 图 


， 这 个 用 户 在 这 上段 时 间 进 行 过 的 联机 通通 在 里 面 ! 有 没有 很 
清晰 呢 ? 


17.5 重点 回顾 
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0 
0 


0 代理 服务 器 的 功能 是 在 代理 用 户 疝 因特网 要 求 Web page 的 数据 ， 同 
时 达成 

Web pages 的 快 取 记 录 ， 以 达到 带宽 节省 的 目的 ; 此 外 ， 还 可 以 额外 的 
达成 防 

火 墙 的 功能 

我 们 可 以 透 过 具有 较 大 带 虹 的 上 层 代理 服务 絮 来 进行 捉 取 数据 的 分 


流 ; 


0 设 定 Proxy 时 ， 如 有 条 能 以 市 宽 更 大 的 上 属 Proxy 来 帮助 ， 将 有 助 于 


Client 

端 浏览 速度 的 提升 ; 

DD 以 防火 墙 的 功能 来 说 ， Proxy 使 用 应 用 层 的 方式 来 达成 防火 墙 功 能 
于 于 


iptables 则 是 更 为 底层 的 TCP/IP 分 析 的 方式 ; 
品目 前 Unix Like 的 机 器 中 ， 做 为 proxy 功能 的 服务 器 软件 几乎 都 是 使 
用 


squid ， 而 squid 仅 需 要 设 定 squid.conf 这 个 配置 文件 即 可 使 用 ; 
0 squid 主要 透 过 acl 配合 http_access 来 进行 信任 用 户 与 目标 WWW 服 
条 


务 
偶 的 探 管 ; 

口 用 http_access 这 个 参数 来 设 定 控 管 行为 时 ，『 顺序 4」 是 有 影响 的 
D transparent proxy 的 功能 束 是 可 以 让 client 端 不 需要 设 定 浏览 器 的 
proxy 功能 ， 即 可 进行 proxy 的 工作 ; 

17.6 本 章 习 题 

0 请 说 明 为 何 Proxy 可 以 提升 网 络 的 WWW 浏 贤 速 度 ? 

万 一 squid 发 生 了 问题 ， 请 问 我 该 如 何 找 出 问题 点 ? 

0 请 说 明 Proxy 服务 句 的 功能 为 何 ? 

0 试 说 明 为 何 Proxy 服务 絮 可 以 提升 网 域 之 内 的 网 络 安全 性 ? 

17.7 参考 数据 与 延伸 阅读 

0 squid 官方 网 站 :_http://www.squid-cache.org/ 


DO squid 说 明文 件 计划 : _http://squid-docs.sourceforge.net/， 


http://www.deckle.co.za/squid-users-guide/ 
D squid 的 验证 流程 : 
http://www.l-penguin.idv.tw/article/proxy-auth.htm 


0 旧版 的 一 些 范 例 参 考 : 


0 squid 官网 收集 的 登录 文件 分 析 软 件 : 
2001/??/??: 第 一 次 完成 日 期 ， 其 实 已 经 起 记 了 ~ 


2001/11/09: 加 入 增加 Proxy 效能 的 方法 ， 束 是 使 用 多 颗 便 一 做 成 的 数 
据 储 存 方式 ! 
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0 


2003/04/04: 完成 大 幅度 的 改写 动作 ! 加 入 了 完整 的 Proxy 说 明 ， 与 


pwebstats 的 染 
设 ! 
2003/04/11: 完成 了 男 一 个 末端 分 析 的 强大 软件 SARG 分 析 套 件 | 


2003/09/16: 微 幅 调 校 一 下 版 面 ! 


2004/11/12: 修订 transparent proxy 的 设 定 问 题 ， 
httpd_accel_with_proxy on 


2011/03/31: 将 旧 的 基于 好 老 的 Red Hat 9 的 文章 移动 到 此 处 
2011/04/08: 累 死 了 一 这 篇 修改 的 幅度 太 大 了 ! 好 疲倦 一 
2011/08/02: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


最 近 更 新 日 期 : 2011/08/02 
如 果 你 的 系统 需要 大 量 的 矿 盘 容 


， 但 是 身边 却 没 有 NAS 或 外 接 的 储 


量 
存 设备 ， 仅 有 个 人 计算 机 时 ， 那 该 


如 何 是 好 ? 此 时 ， 透 过 网 络 的 SCSI 磁盘 (iSCSD 就 能 够 有 大 大 的 帮助 
啦 ! 这 个 iSCSI 是 将 来 自 网 络 


的 数据 仿真 成 本 机 的 SCSI 设备 ， 因 此 可 以 进行 诸如 LVM 等 方面 的 实 
作 ， 而 不 是 单纯 使 用 服务 器 端 提 


供 的 文件 系统 而 已 ， 相 当 的 有 帮助 喔 | 


18.1.1 NAS 与 SAN 

18.1.2 iSCSI 界面 

18.1.3 各 组 天 性 

18.2 iSCSI target 的 设 定 
18.2.1 所 需 软件 与 软件 结构 
18.2.2 target 的 实际 设 定 
18.3 iSCSI initiator 的 设 定 


18.3.3 一 个 测试 范 伪 
18.4 重点 回顾 
18.5 本 章 习 题 

18.6 参考 数据 与 延伸 阅读 


18.7 针对 本 文 的 建议 :_http://phorum.vbird.org/viewtopic.php? 
f=16&t=35503 


18.1 网 络 文件 系统 还 古 网 络 驱 动 絮 
net.giang@hotmail.com 
O 


做 为 服务 器 的 系统 通常 是 需要 储存 设备 的 ， 而 储存 设备 除了 可 以 使 用 
系统 内 建 的 磁 


盘 之 外 ， 如 果 内 建 的 磁盘 容量 不 够 大 ， 而 且 也 没有 额外 的 磁盘 插 模 
(SATA 或 IDE) 可 


用 时 ， 那 么 第 见解 决 的 方案 束 古 增加 NAS (网 络 附加 储存 服务 絮 ) 或 外 
接 式 储存 设备 。 


再 高 档 一 点 的 系统 ， 可 能 就 会 用 到 SAN (储存 局 域 网 络 ) 这 个 高 贵 的 玩 
意 儿 ( 注 1)。 


不 过 ,不 论 是 哪 一 种 架构 ， 基 本 上 ， 它 们 的 内 部 硬盘 通常 是 以 磁盘 阵 
列 (RAID) 作 


为 基础 的 。 仙 } 克 
不 再 哎 唆 。 这 里 想 


要 了 解 的 是 ， 哈 是 NAS 又 哈 是 SAN ? 这 两 者 有 何不 同 ? 与 本 章 主题 
有 关 的 iSCSI 又 


是 啥 呢 ? 底下 束 让 我 们 来 谈 一 谈 。 
18.1.1NAS 与 SAN 


由 于 企业 的 数据 量 越 来 越 大 ， 而 且 重 要 性 与 保密 性 越 来 越 高 ， 尤 其 类 
似 数据 库 的 内 


容 ， 常 常 容量 单位 是 以 TB (1TB = 1024GB) 在 进行 计算 的 。 哇 ! 真 可 
怕 ! 所 以 哆 ， 磁 


这 里 就 


盘 阵 列 的 应 用 就 很 重要 了 “。 那 么 磁盘 阵列 通常 是 在 哪里 呢 ? 磁盘 阵列 
通常 是 (1) 主 机 


内 部 有 磁盘 阵列 控制 卡 ， 可 以 自行 管理 磁盘 阵列 。 不 过 想 要 提供 磁盘 
阵列 的 容量 ， 得 


要 透 过 额外 的 网 络 服务 才 行 ， (2) 外 接 式 磁 副 阵列 设备 ， 束 古 单 纯 的 磁 
盘 阵 列 设备 ， 必 


须 透 过 某 些 接口 链接 到 主机 上 ， 主 机 也 要 安装 适当 的 驱动 程序 后 ， 才 
能 提 到 这 个 设备 


所 提供 的 亿 c 副 容量 。 


不 过 ， 以 目前 的 信息 社会 来 说 ， 你 应 该 很 少 听 到 内 建 或 外 接 的 RAID 
了 ， 名 和 需 听 到 


的 应 该 是 NAS 与 SAN ， 那 这 是 蛤 吃 吃 ? 让 我 们 简单 的 来 说 说 : 
0D 
NAS (Network Attached Storage, 网 络 附加 储存 服务 器 ) 


基本 上 ，NAS 其 实 就 是 一 部 客 制 化 好 的 主机 了 ， 只 要 将 NAS 连接 上 网 
络 ， 那 么 在 


网 络 上 面 的 其 他 主机 就 能 够 存 取 NAS 上 头 的 数据 了 。 简 单 的 说 ，NAS 


就 是 一 部 file 


server 唉 ~ 不 过 ，NAS 由 于 也 是 接 在 网 络 上 面 ， 所 以 ， 如 果 网 络 上 有 
某 个 用 户 大 量 存 

取 NAS 上 头 的 数据 时 ， 是 很 容易 造成 网 络 停顿 的 问题 的 ， 这 个 比较 麻 
烦 点 一 低 阶 的 NAS 


通 单 会 使 用 Linux 系统 搭配 软件 磁盘 阵列 来 捉 供 大 容量 文件 系统 。 不 
过 效能 嘛 焉 有 行 


加 强 啦 ! 此 外 ，NAS 也 通常 支持 TCP/IP ， 并 会 提供 NFS, SAMBA， 
FTP 等 常见 的 通讯 


协议 来 提供 客户 端 取 得 文件 系统 。 


那 为 什么 不 要 直接 使 用 个 人 计算 机 安装 Linux 再 搭配 相关 的 服务 ， 即 
可 提供 NAS 


预计 要 提供 的 大 容量 空间 啦 ! 干 嘛 需要 NAS 呢 ? 因为 ,通常 NAS 还 
会 包括 很 多 组 态 


的 接口 ， 通 常 是 利用 Web 接口 来 控制 磁 副 阵列 的 设 定 状况 、 提 供 全 或 
其 他 相关 网 络 


设 定 ， 以 及 是 否 提 供 某 些 特定 的 服务 等 等 。 因 为 具有 较为 杀 和 的 操作 
与 控制 接口 ， 对 


于 非 IT 的 人 员 来 说 ， 控 管 较 为 容易 啦 。 这 也 是 NAS 存在 的 目的 。 
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名 
不 过 ， 目 前 倒是 有 类 似 FreeNAS 的 软件 开发 项 目 


、 


部 可 透 过 Web 控 管 的 NAS 哩 ! 不 过 不 是 本 章 的 重点 ， 有 兴趣 的 朋友 可 
以 目 行 前 往 下 载 


与 安装 该 软件 来 玩 玩 一 
SAN (Storage Area Networks, 储存 局 域 网 络 ) 


从 上 面 的 说 明 来 看 ， 其 实 那 个 NAS 就 是 一 部 可 以 提供 大 容量 文件 系统 
的 主机 嘛 ! 


那 我 们 知道 单 部 主机 能 够 提供 的 插 槽 再 怎么 说 也 是 有 限 的 ! 所 以 并 不 
能 无 限制 的 安插 


人 磁 副 在 同一 部 实体 主机 上 面 。 但 十 如 果 偏 偏 你 就 吓 有 大 量 磁 盘 使 用 的 
需求 ， 那 时 该 如 何 


是 好 ? 这 时 就 得 要 使 用 到 SAN 这 玩意 儿 啦 ! 


最 简单 的 看 法 ， 束 是 将 SAN 视 为 一 个 外 接 却 的 储存 设备 。 只 是 单纯 的 
外 接 式 储存 


设备 仅 能 透 过 某 些 接口 (如 SCSI 或 eSATA) 提供 单一 部 主机 使 用 ， 而 
SAN 却 可 以 透 


过 某 些 特殊 的 接口 或 信道 来 提供 局 域 网 络 内 的 所 有 机 器 进行 磁盘 存 
取 。 要 注意 喔 ，SAN 


古 提 供 『 人 磁盘 (block device)J 给 主机 用 ， 而 不 是 像 NAS 提供 的 是 『 网 
络 协议 的 文件 


系统 (NFS, SMB.…)J ! 这 两 着 的 震 异 挺 大 的 喔 ! 因此 ， 挂 载 使 用 SAN 
的 主机 会 多 出 


一 个 大 磁盘， 并 可 针对 SAN 提供 的 磁盘 进行 分 割 与 格式 化 等 动作 。 想 
想 看 ， 你 能 对 NAS 


提供 的 文件 系统 格式 化 吗 ? 不 行 吧 ! 这 样 了 解答 异 否 ? 


另外 ， 既 然 SAN 可 以 提供 磁盘 ， 而 NAS 则 是 提供 相关 的 网 络 文件 系 
统 ， 那 么 NAS 


能 不 能 透 过 网 络 去 使 用 SAN 所 提供 的 磁 强 呢 ? 答案 当然 定 可 以 啊 ! 
为 SAN 最 大 的 目 


的 就 是 在 提供 磁盘 给 服务 器 主机 使 用 ，NAS 也 是 一 部 完整 的 服务 器 ， 
所 以 NAS 当然 可 


以 使 用 SAN 啦 ! 同时 其 他 的 网 络 服务 右 也 能 够 使 用 这 个 SAN 来 进行 
数据 存 取 。 


此 外 ， 既 然 SAN 开发 的 目的 是 要 提供 大 量 的 磁盘 给 用 户 ， 那 么 传输 的 
速度 当然 是 


非常 重要 的 。 因 此 ， 早 期 的 SAN 大 多 配合 光纤 信道 (Fibre Channel) 来 
提供 高 速 的 数 


据 传 输 。 目 前 标准 的 光纤 信道 是 速度 是 2GB ， 未 来 还 可 能 到 达 10GB 
以 点 也 过 不 二， 


使 用 光纤 等 技术 较 高 的 设备 ， 当 然 就 比较 贵 一 些 。 


拜 以 太 网 络 盛行 ， 加 上 技术 成 熟 之 赐 ， 现 今 的 以 太 网 络 媒体 (网 络 卡 、 
交换 右 、 路 


由 器 等 等 设备 ) 已 经 可 以 达到 GB 的 速度 了 ， 离 SAN 的 光纤 信道 速度 
其 实 差异 已 经 缩 


小 很 多 啦 一 那么 是 否 我 们 可 以 透 过 这 个 GB 的 以 太 网 络 接口 来 连接 到 
SAN 的 设备 呢 ? 


这 就 是 我 们 接 下 来 要 提 到 的 iSCSI 架构 啦 ! 和信 

18.1.2 iSCSI 界面 

早期 的 企业 使 用 的 服务 器 大 有 大 容量 磁盘 的 需求 时 ， 通 贡 是 透 过 SCSI 
来 串 接 


SCSI 了 磁盘， 因此 服务 右上 面 必 须要 加 厂 SCSI 适 配 卡 ， 而 且 这 个 SCSI 
是 专属 于 该 服 
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iSCSI tarvet iSCSI initiator 


iSCSI 昭 动 程式 iSCSI 驱动 程式 


务 器 的 。 后 来 这 个 外 接 式 的 SCSI 设备 被 上 述 提 到 的 SAN 的 架构 所 取 
代 ， 在 SAN 的 


标准 架构 下 ， 虽 然 有 很 多 的 服务 紫 可 以 对 同一 个 SAN 进行 存 取 的 动 
作 ， 不 过 为 了 速度 


需求 ， 通 种 使 用 的 是 光纤 信道 。 但 是 光纤 信道 就 是 贯 嘛 ! 不 但 设备 
贯 ， 服 务 左上 面 也 


要 有 光纤 接口 ， 很 麻烦 ~ 所 以 光纤 的 SAN 在 中 小 企业 很 难 普及 啊 一 


后 来 网 络 实在 太 普 及 ， 尤 其 是 以 卫 封包 为 基础 的 LAN 技术 已 经 很 成 
熟 ， 再 加 上 


以 太 网 络 的 速度 越 来 越 快 ， 所 以 束 有 厂商 将 SAN 的 连接 方式 改 为 利用 
IP 技术 来 处 理 。 


然后 再 透 过 一 些 标准 的 订 定 ， 最 后 就 得 到 Internet SCSI (iSCSD 这 玩意 
的 产生 啦 | 


iSCSI 主要 是 透 过 TCP/IP 的 技术 ， 将 储存 设备 端 透 过 iSCSI target 
(iSCSI 目标 ) 功 


能 ， 做 成 可 以 提供 磁盘 的 服务 邵 端 ， 再 透 过 iSCSI initiator (iSCSI 初始 
化 用 户 ) 功 


能 ， 做 成 能 够 挂 载 使 用 iSCSItarget 的 客户 端 ， 如 此 便 能 透 过 iSCSI 协 
议 来 进行 磁 

盘 的 应 用 了 ( 注 3)。 

也 就 是 说 ，iSCSI 这 个 架构 主要 将 储存 装置 与 使 用 的 主机 分 为 两 个 音 


分 ,分别 是 : 


yi target: 束 是 储存 设备 端 ， 存 放 侯 盘 或 RAID 的 设备 ， 目 前 也 能 
将 


Linux 主机 仿真 成 iSCSI target 了 ! 目的 在 提供 其 他 主机 使 用 的 『 磁 
盘 」 ; 


DU iSCSI initiator: 就 古 能 够 使 用 target 的 客户 问 ， 通 第 是 服务 器 。 也 束 


是 说 ， 想 要 连接 到 iSCSI target 的 服务 器 ， 也 必须 要 安装 iSCSI initiator 
的 


相关 功能 后 才能 够 使 用 iSCSI target 提供 的 磁盘 就 是 了 。 


如 下 图 所 示 ，iSCSI 是 在 TCP/IP 上 面 所 开发 出 来 的 一 套 应 用 ， 所 以 得 
要 有 网 络 才 


行 啊 ! 


图 18.1-1、iSCSI 与 TCP/IP 相关 性 
18.1.3 各 组 件 相关 性 
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APPLICATION SOFTWVARE 


FILE SYSIEM 


由 上 面 的 说 明 中 ， 我 们 可 以 知道 一 部 服务 占 如 何 取得 磁 副 或 者 是 文件 
系统 来 利用 呢 ? 


基本 上 就 古 : 

0 直接 存 取 (direct-attached storage): 例如 本 机 上 面 的 磁盘 ， 束 是 直接 人 存 
取 设 备 ; 

0 透 过 储存 局 域 网 络 (SAN): 来 目 区 网 内 的 其 他 储存 设备 提供 的 磁 甬 ; 


0 网 络 文件 系统 (NAS): 来 自 NAS 提供 的 文件 系统 ， 只 能 立即 使 用 ， 
不 可 进 


行 格式 化 。 


服务 器 主机 能 用 的 文件 系统 之 间 可 以 用 维基 百科 的 图 示 


图 18.1-2、 服 务 占 取得 文件 系统 的 三 个 来 源 (数据 源 为 注 1) 


从 上 图 中 ， 我 们 可 以 发 现在 一 般 的 主机 环境 下 ， 侯 盘 装 置 (SATA, SAS， 
FC) 可 以 


透 过 主机 的 接口 (DAS) 来 直接 进行 文件 系统 的 建立 (mkfs 进行 格式 
化 )， 如 采 想 要 使 


用 外 部 的 磁盘 ， 那 可 以 透 过 SAN (内 含 多 个 磁盘 的 设备 )， 然 后 透 过 
iSCSI 等 接口 来 联 


机 ， 当然 ,还 是 得 要 进行 格式 化 等 动作 (假设 这 个 SAN 尚未 被 使 用 
时 )。 最 后 ， 如 来 


征 NAS 的 条 件 下 ， 那 么 NAS 必须 要 移 透 过 目 己 的 操作 系统 将 磁 玛 帮 
置 进行 文件 系统 的 


建立 后 ， 再 以 NFS/CIFS 等 方式 来 提供 其 他 主机 挂 载 使 用 。 


接 下 来 ， 网 络 服务 器 、 客 户 端 系统 、NAS 与 SAN 的 角色 在 区 网 里 面 又 
征 如 何 呢 ? 


我 们 依旧 使 用 维基 百科 的 图 示 来 说 明 一 下 (DAS 是 每 部 主机 内 部 的 磁 
盘 ， 即 奈 下 图 标 中 


的 圆柱 体 ): 


net.giang@hotmail.com 


Client 


Ethernet 


Server 


o 
18.1-3、 各 组 件 之 间 的 相关 性 (数据 源 为 注 1) 


NAS 可 以 使 用 日 己 的 磁 表 ， 也 能 够 透 过 光纤 或 以 太 网 络 取得 SAN 所 所 
供 的 倍 副 来 


制作 成 为 网 络 文 件 系 统 ， 提 供 其 他 人 的 使 用 。 Server 可 以 透 过 
NFS/CIFS 等 方式 取得 


NAS 的 文件 系统 ， 当 然 也 能 够 直接 存 取 SAN 的 磁 副 。 客 户 剖 主要 则 是 
透 过 网 络 文件 系 


统 ， 并 且 直 接 使 用 Server 提供 的 网 络 资源 (如 FTP WWW, mail 等 
等 )。 


18.2 iSCSItarget 的 设 定 


能 够 完成 iSCSI target/initiator 设 定 的 项 目 非常 多 ( 注 4) ， 乌 哥 找 的 到 的 
就 


有 展 下 这 JR 


D Linux SCSI target framework (tgt):_ http://stgt.sourceforge.net/ 


L Linux-iSCSI Project:_http://linux-iscsi.sourceforge.net/ 


L Open-iSCSI: http:/www.open-iscsi.org/ 


由 于 被 我 们 CentOS 6.x 官方 直接 使 用 的 是 tgt 这 个 软件 ， 因 此 后 下 我 们 
会 使 用 


tgt 来 介绍 整个 iSCSItarget 的 设 定 喔 ! 

18.2.1 所 需 软 件 与 软件 结构 

net.qiang@hotmail.com 

0 

Ee 将 tgt 的 软件 名 称 定义 为 scsi-target-utils ， 因 此 你 得 要 使 用 yum 
安装 他 才 行 。 至 于 用 来 作为 initiator 的 软件 则 是 使 用 linux-iscsi 的 项 
目 ， 该 项 目 


所 提供 的 软件 名 称 则 为 iscsi-initiator-utils 。 所 以 ， 总 的 来 说 ， 你 需要 的 
软件 有 : 


中 scsi-target-utils: 用 来 将 Linux 系统 仿真 成 为 iSCSI target 的 功能 ; 
中 iscsi-initiator-utils: 挂 载 来 目 target 的 人 磁盘 到 Linux 本 机 上 。 


那么 scsi-target-utils 主要 提供 哪些 档案 呢 ? 基本 上 有 底下 几 个 比较 重要 


注意 的 : 
D /etctgtUtargets.conf: 主要 配置 文件 ， 设 定 要 分 享 的 磁盘 格式 与 哪 几 


颗 ，; 

/usr/sbin/tgt-admin: 在 线 查 询 、 删 除 target 等 功能 的 设 定 工 具 ; 

D msrsbin/tgt-setup-lun: 建立 target 以 及 设 定 分 享 的 位 副 与 可 使 用 的 
客户 端 等 工具 软件 。 


0 /usr/sbin/tgtadm: 手动 直接 管理 的 管理 员工 具 (可 使 用 配置 文件 取 
代 ); 


0 musrsbin/tgtd: 主要 提供 iSCSItarget 服务 的 主 程序 ; 


0 /usr/sbin/tgtimg: 建 置 预计 分 享 的 映像 文件 装置 的 工具 (以 映像 文件 仿 
真 


一 人 


似 盘 ): 


其 实 CentOS 已 经 将 很 多 功能 都 设 定 好 了 ， 因 此 我 们 只 要 修订 配置 文 
件 ， 然 后 局 动 


tgtd 这 个 服务 束 可 以 史 ! 接 下 来 ， 殊 让 我 们 实际 来 玩 一 玩 iSCSI target 
的 设 定 吧 ! 


18.2.2 target 的 实际 设 定 


从 上 面 的 分 析 来 看 ，iSCSI 就 是 透 过 一 个 网 络 接口 ， 将 既 有 的 人 磁盘 给 分 
享 出 去 就 是 


了 。 那 么 有 哪些 类 型 的 磁盘 可 以 分 享 呢 ? 这 包括 : 

0 使 用 dd 指令 所 建立 的 大 型 档案 可 供 仿真 为 磁 副 (无 须 预 先 格式 化 ); 
0 使 用 单一 分 割 权 (partition) 分 享 为 磁 强 ; 

0 使 用 单一 完整 的 磁 副 (无 须 预先 分 割 ); 


0 使 用 磁盘 阵列 分 孚 (其 实 与 单一 伐 盘 相同 方式 ); 
口 使 用 软件 磁盘 阵列 (software raid) 分 享 成 单一 磁盘 ; 
0 使 用 LVM 的 LV 装置 分 享 为 磁盘 。 


人 我 们 大 概 知道 可 以 透 过 (1D) 大 型 档案 ; (2) 单 一 分 割 
日; (3) 


单一 疙 置 (包括 磁盘 、 数 组 、 软 件 磁盘 阵列 、LVM 的 LV 逆 置 文件 名 等 


等 ) 来 进行 分 享 。 


在 本 小 下 当 中 ， 我 们 将 透 过 新 的 分 割 产生 新 的 没有 用 到 的 分 割 模 、 
LVM 逻辑 滚动 条 、 大 


型 档案 等 三 个 咯咯 来 进行 分 享 。 既 然 如 此 ， 那 就 得 要 先 来 搞定 这 些 吃 
吃喝 ! 要 注意 嘱 ， 


等 一 下 我 们 要 分 至 出 去 的 数据 ， 最 好 不 要 被 使 用 ， 也 最 好 不 要 开机 下 
被 挂 载 


(/etc/fstab 当中 没有 存在 记录 的 意思 )。 那么 就 来 玩 玩 看 嗓 


眉 
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建立 所 需要 的 磁 副 装置 


既然 iSCSI 要 分 享 的 是 位 融 ， 那 么 我 们 得 要 准备 好 啊 ! 目前 预计 准备 
的 役 盘 为 : 


D 建立 一 个 名 为 /srv/iscsi/disk1.img 的 500MB 档案 ; 


0 使 用 /dev/sda10 提供 2GB 作为 分 享 (从 第 一 章 到 目前 为 止 的 分 割 
数 ); 


吕 使 用 /dev/server/iscsi01 的 2GB LV 作为 分 享 (再 加 入 5GB /dev/sdall 


到 server VG 中 )。 

实际 处 理 的 方式 如 下 : 

#1. 建立 大 型 档案 : 

[root@www ~]#mkdir /srv/iscsi 

[root@www ~]# dd if=/dev/zero of=/srv/iscsi/disk1.img bs=1M count=500 
[root@www ~]# chcon -Rv -t tgtd_var_lib_t /srv/iscsi/ 

[root@www ~1]# 1s -lh /Srwiscsi/disk1.img 

-TW-T--T--. 1 root root 500M Aug 2 16:22 /Srwiscsi/disk1.img <== 

容量 对 的 ! 


#2. 建立 实际 的 partition 分 割 |: 


SS 


[root@www ~]# fdisk /dev/sda <== 实 际 的 分 割 方式 目 己 处 理 吧 ! 
[root@www ~]#partprobe <== 某 些 情况 下 得 reboot 喔 ! 
[root@www ~]#fdisk -] 

Device Boot Start End Blocks Id System 

/dewsda10 2202 2463 2104483+ 83 Linux 

/dev/sdall 2464 3117 5253223+ 8e Linux LVM 


# 只 有 输出 /dev/sda{10,11} 信息 ， 其 他 的 都 省 略 了 。 注 意 看 容量 ， 上 述 


As 


谷 
量 单位 KB 


[root@www ~]# swapon -s; mount | grep 'sdal' 


# 目 己 测 试 一 下 /dev/sda{10,11} 不 能 够 被 使 用 喔 ! 在 有 被 使 用 ， 请 


umount 

或 swapoff 

#3. 建立 LV 装置 : 

[root@www ~]# pvcreate /dev/sdall 
[root@www ~]# vgextend server /dev/sdall 
[root@www ~]# lvcreate -L 2G -n iscsi01 server 
[root@www ~]# lvscan 

ACTIVE ‘/dev/server/myhome' [6.88 GiB| inherit 
ACTIVE /dev/server/iscsi01' [2.00 GB] inherit 
net.giang@hotmail.com 
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规划 分 享 的 iSCSItarget 档 名 


iSCSI 有 一 套 自 己 分 享 target 档 名 的 定义 ， 基 本 上 ， 厌 由 iSCSI 分 享 出 
来 的 


target 档 名 都 是 以 iqn 为 开头 ， 意 思 是 : 
riSCSI Qualified Name (iSCSI 合格 名 称 )4 


的 意思 ( 注 5)。 那么 在 iqn 后 面 要 接 啥 档 名 呢 ? 通常 是 这 样 的 : 


iqn.yyyy-mm.<reversed domain name>:identifier 


iqn. 年 年 -月 .单位 网 域名 的 反 转 写法 :这 个 分 享 的 target 名 称 


乌 哥 做 这 个 测试 的 时 间 是 2011 年 8 月份， 然后 乌 哥 的 机 器 是 
www.centos.vbird ， 


反 转 网 域 写法 为 vbird.centos， 然后 ， 乌 哥 想 要 的 iSCSItarget 名 称 是 
vbirddisk ， 


那么 就 可 以 这 样 写 : 
Liqn.2011-08.vbird.centos:vbirddisk 


男 外 ， 就 如 同一 般 外 接 式 储存 装置 (target 名 称 ) 可 以 具有 多 个 磁 表 一 
样 ， 我 们 


的 target 也 能 够 拥有 数 个 磁盘 委 置 的 。 每 个 在 同一 个 target 上 头 的 磁盘 
我 们 可 以 


将 它 定义 为 逻辑 单位 编号 (Logical Unit Number LUN)。 我 们 的 iSCSI 
initiator 就 


征 跟 target 协调 后 才 取 得 LUN 的 存 取 权 了 驶 是 了 ( 注 5)。 在 乌 哥 的 这 个 
简单 案例 中 ， 


最 终 的 结果 ， 我 们 会 有 一 个 target ， 在 这 个 target 当中 可 以 使 用 三 个 
LUN 的 傍 盘 。 


吕 
设 定 tgt 的 配置 文件 /etc/tgt/targets.conf 
接 下 来 我 们 要 开始 来 修改 配置 文件 了 。 基 本 上 ， 配 置 文件 瓯 是 修改 


/etc/tgt/targets.conf 啦 。 这 个 档案 的 内 容 可 以 改 得 很 众 单 ， 最 重要 的 允 
日 >: 儿 忆 =z 二 和 
是 设 定 前 


一 点 规定 的 iqn 名 称 ， 以 及 该 名 称 所 对 应 的 疼 置 ， 然 后 再 给 予 一 些 可 能 
会 用 到 的 参数 


而 已 。 多 说 无 益 ， 让 我 们 实际 来 实 作 看 看 : 


[root@www ~]# vim /etc/tgt/targets.conf 

# 此 档案 的 语法 如 下 : 

<target iqn. 相 关 洲 置 的 target 名 称 > 
backing-store /你 的 /虚拟 设备 /完整 档 名 -1 
backing-store /你 的 /虚拟 设备 /完整 档 名 -2 
</target> 


<target iqn.2011-08.vbird.centos:vbirddisk> 


backing-store /srv/iscsi/disk1.img <==LUN 1 (LUN 的 编号 通常 照 顺 
序 ) 

backing-store /dev/sda10 <==LUN 2 

net.giang@hotmail.com 

backing-store /dev/server/iscsi01 <==LUN 3 

</target> 


事实 上 ， 除 了 backing-store 之 外 ， 在 这 个 配置 文件 当中 还 有 一 些 比 较 
特别 的 参数 可 


以 讨论 看 看 (man tgt-admin): 


DO backing-store (虚拟 的 装置 ), direct-store (实际 的 闭 置 ):” 设 定 装置 时 ， 
如 果 你 的 整 颗 磁 盘 是 全 部 被 拿 来 当 iSCSI 分 享 之 用 ， 那 么 才能 够 使 用 


a ° 不过， 根据 网 络 上 的 其 他 文件 ， 似乎 说 明 这 个 设 定 值 有 
凡人 危险 


人 。 所 以 ， 基 本 上 还 是 建议 单纯 使 用 模拟 的 backing-store 较 佳 。 
列 如 握 


可 的 简单 案例 中 ， 束 通通 使 用 backing-store 而 已 。 
U initiator-address (用 户 端 地 址 ): ”如 果 你 想 要 限制 能 够 使 用 这 个 target 


的 客户 端 来 源 ， 才 需要 填写 这 个 设 定 值 。 基 本 上 ， 不 用 设 定 它 (代表 所 
有 人 都 能 


使 用 的 意思 )， 因为 我 们 后 来 会 使 用 iptables 来 规范 可 以 联机 的 客户 端 
嘱 ! 


Dincominguser (用 户 账号 密码 设 定 ): 如 采 除 了 来 源 IP 的 限制 之 外 ， 你 


还 


想 要 让 使 用 者 输入 账 密 才能 使 用 你 的 iSCSI target 的 话 ， 那 么 就 加 用 这 
个 设 定 


项 目 。 此 设 定 后 面 接 两 个 参数 ， 分 别 是 账号 与 密码 虽 。 
D write-cache [offlon] (是 否 使 用 快 取 ): 在 预 设 的 情况 下 ，tgtd 会 使 用 


快 取 来 增 快速 度 。 不 过 ， 这 样 可 能 会 有 遗失 数据 的 风险 。 所 以 ， 如 果 
你 的 数据 比 


较 重要 的 话 ， 或 许 不 要 使 用 快 取 ， 直 接 存 取 疙 和 置 会 比较 妥当 一 些 。 


上 面 的 设 定 值 要 怎么 用 呢 ? 现在 ， 假 设 你 的 环境 中 ， 仅 允许 
192.168.100.0/24 这 


个 网 段 可 以 存 取 iSCSItarget， 而 且 存 取 时 需要 帐 密 分 别 为 vbirduser, 
vbirdpasswd ， 


此 外 ， 不 要 使 用 快 取 ， 那 么 原本 的 配置 文件 之 外 ， 还 得 要 加 上 这 样 的 
参数 才 行 (基本 上 ， 


使 用 上 述 的 设 定 即 可 ， 属 下 的 设 定 是 多 加 测试 用 的 
设 定 中 )。 


[root@www ~]# vim /etc/tgt/targets.conf 
<target iqn.2011-04.vbird.centos:vbirddisk> 
backing-store /home/iscsi/diskl1.img 
backing-store /dev/sda7 

backing-store /dev/server/iscsi01 
initiator-address 192.168.100.0/24 
incominguser vbirduser vbirdpasswd 
write-cache off 

</target> 

0 

启动 iSCSItarget 以 及 观察 相关 端口 口 与 磁 一 信息 


， 不 需要 填 入 你 的 


再 来 则 是 启动 、 开 机 启动 ， 以 及 观察 iSCSItarget 所 启动 的 塌 口 嗓 : 


net.giang@hotmail.com 

[root@www ~]# /etc/init.d/tgtd start 
[root@www ~]# chkcontfig tgtd on 
[root@www ~]# netstat -tlunp | grep tgt 


Active Internet connections (only servers) 


Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/Program name 

tcp 0 0 0.0.0.0:3260 0.0.0.0:* LISTEN 
26944/tgtd 

tcp 0 0 :::3260 :::* LISTEN 
26944/tgtd 


# 重点 就 是 那个 3260 TCP 封包 啦 ! 等 一 下 的 防火 墙 务必 要 开放 这 个 塌 
器。 


# 观察 一 下 我 们 target 相关 信息 ， 以 及 提供 的 LUN 数据 内 容 : 
[root@www ~]# tgt-admin --show 

Target 1: iqn.2011-08.vbird.centos:vbirddisk <== 就 是 我 们 的 target 
System information: 

Driver: iscsi 

State: ready 

I_T nexus information: 

LUN information: 

LUN: 0 

Type: controller <== 这 是 个 控制 器， 并 非 可 以 用 的 LUN 

喔 ! 

(中 间 省 略 ).. 


LUN: 1 


Type: disk <== 第 一 个 LUN， 是 傍 一 (disk) 喔 ! 
SCSI ID: IET 00010001 

SCSI SN: beaf11 

Size: 2155 MB <== 容 量 有 这 么 大 | 

Online: Yes 

Removable media: No 

Backing store type: rdwr 

Backing store path: /dev/sda10 <== 伺 表 所 在 的 实际 文件 名 
LUN: 2 

Type: disk 

SCSI ID: IET 00010002 

SCSI SN: beaf12 

Size: 2147 MB 

Online: Yes 

Removable media: No 

Backing store type: rdwr 

Backing store path: /dev/server/iscsi01 

LUN: 3 


net.giang@hotmail.com 


0 


Type: disk 

SCSI ID: IET 00010003 

SCSI SN: beaf13 

Size: 524 MB 

Online: Yes 

Removable media: No 

Backing store type: rdwr 

Backing store path: /Srwiscsi/disk1.img 
Account information: 

vbirduser <== 和 额外 的 帐户 信息 

ACL information: 

192.168.100.0/24 <== 额 外 的 来 源 卫 限制 


请 将 上 面 的 信息 对 照 一 下 我 们 的 配置 文件 哆 ! 看 看 有 没有 错误 束 是 
了 ! 尤其 注意 每 个 


LUN 的 容量 、 实 际 和 磁盘 路 径 ! 那个 项 目 不 能 错误 就 是 了 。( 照 理 说 
LUN 的 数字 应 该 与 


backing-store 设 定 的 顺序 有 关 ， 不 过 ， 在 鸟 可 的 测试 中 ， 出 现 的 顺序 
并 不 相同 ! 


此 ， 还 是 需要 使 用 tgt-admin --show 去 查阅 查阅 才 好 ! ) 
0 
设 定 防 火 墙 


不 论 你 有 没有 使 用 initiator-address 在 targets.conf 配置 文件 中 ，iSCSI 


target 就是 使 用 TCP/P 传输 数据 的 ， 所 以 你 还 是 得 要 在 防火 寺内 设 定 
可 以 联机 的 客 


户 端 才 行 ! 既然 iSCSI 仅 开 启 3260 坦 口 ， 那 么 我 们 就 这 么 进行 即 可 : 
[root@www ~]#vim /usr/local/virus/iptables/iptables.allow 

iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 3260 -j ACCEPT 
[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save | grep 3260 

-A INPUT -s 192.168.100.0/24 -p tcp -m tcp --dport 3260 -j ACCEPT 

# 最 终 要 看 到 上 述 的 输出 字样 才 是 OK 的 哟 ! 者 有 其 他 用 户 需要 联机 ， 
# 目 行 复制 iptables.allow 内 的 语法 ， 修 改 来 源 端 即 可 。 

18.3 iSCSI initiator 的 设 定 


谈 完 了 target 的 设 定 ， 并 且 观 察 到 相关 target 的 LUN 数据 后 ， 接 下 来 
束 是 要 


来 挂 载 使 用 嚼 。 使 用 的 方法 很 简单 ， 只 不 过 我 们 得 要 安装 额外 的 软件 
来 取得 target 的 


LUN 使 用 权 束 是 了 。 
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名 
避 
18.3.1 所 需 软 件 与 软件 结构 


在 前 一 小 节 束 谈 过 了 ， 要 设 定 iSCSI initiator 必须 要 安装 


iscsi-initiator-utils 才 行 。 安 闭 的 方法 请 使 用 yum 去 处 理 ， 这 里 不 再 多 讲 
话 。 那 


么 这 个 软件 的 结构 是 如 何 呢 ? 
D /etciscsiiscsid.conf: 主要 的 配置 文件 ， 用 来 连结 到 iSCSI target 的 设 


ea 


全; 

0 /sbin/iscsid: 启动 iSCSI initiator 的 主要 服务 程序 ; 

0 /sbinmiscsiadm: 用 来 管理 iSCSI initiator 的 主要 设 定 程序 ; 

DO /etcinit.d/iscsid: 让 本 机 模拟 成 为 iSCSI initiater 的 主要 服务 ; 
1 在 本 机 成 为 iSCSIinitiator 之 后 ， 启 动 此 脚本 ， 让 我 
可 以 登入 iSCSI target。 所 以 iscsid 先 启动 后 ， 才 能 启动 这 个 服务 。 为 
了 防 

采 ， 所 以 /etc/init.d/iscsi 已 经 写 了 一 个 启动 指令 ， 启动 iscsi 前 尚未 启 
动 iscsid ， 则 会 完 呼叫 iscsid 才 继 续 处 理 iscsi 喔 ! 

老实 说 ， 因 为 /etc/init.d/iscsi 脚本 已 经 包含 了 启动 /etc/init.d/iscsid 的 


步 又 在 里 面 ， 所 以 ， 理 论 上 ， 你 只 要 局 动 iscsi 整 好 啦 ! 此 外 ， 那 个 


iscsid.conf 里 


面 大 概 只 要 设 定好 登入 target 时 的 帐 密 即 可 ， 其 他 的 target 搜寻 、 设 
定 、 取 得 的 


方法 都 直接 使 用 iscsiadm 这 个 指令 来 完成 。 由 于 iscsiadm 侦 测 到 的 结 
会 直接 写 入 


/var/lib/iscsi/nodes/ 当中 ， 因 此 只 要 局 动 /etc/init.d/iscsi 职能 够 在 下 次 开 
机 


时 ， 自 动 的 连结 到 正确 的 target 嗓 。 那 么 就 让 我 们 来 处 理 处 理 整个 过 
程 吧 ( 注 6) ! 


18.3.2 initiator 的 实际 设 定 


首先 ， 我 们 得 要 知道 target 提供 了 险 吃 吹 啊 ， 因 此 ， 理 论 上 ， 不 论 是 
target 还 


征 initiator 都 应 该 是 要 我 们 管理 的 机 右 才 对 。 而 现在 我 们 知道 target 其 
实 有 设 定 


账号 与 密码 的 ， 所 以 底下 我 们 就 得 要 修改 一 下 iscsid.conf 的 内 容 才 行 。 
D 
修改 /etc/iscsi/iscsid.conf 内 容 ， 并 启动 iscsi 


这 个 档案 的 修改 很 商 单 ， 因 为 里 面 的 参数 大 多 已 经 预 设 做 的 不 错 了 ， 
所 以 只 要 填写 


target 登入 时 所 需要 的 帐 密 即 可 。 修改 的 地 方 有 两 个 ， 一 个 是 侦 测 时 
(discovery) 可 


能 会 用 到 的 帐 密 ， 一 个 是 联机 时 (node) 会 用 到 的 帐 密 : 


[root@clientlinux ~]# vim /etc/iscsi/iscsid.conf 
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node.session.auth.username = vbirduser <== 在 target 时 设 定 的 
node.session.auth.password = vbirdpasswd <== 约 在 53, 54 行 
discovery.sendtargets.auth.username = vbirduser <== 约 在 67, 68 行 


discovery.sendtargets.auth.password = vbirdpasswd 


[root@clientlinux ~]# chkconfig iscsid on 


[root@clientlinux ~]# chkconfig iscsi on 


由 于 我 们 尚未 与 target 联机 ， 所 以 iscsi 并 无 法 让 我 们 顺利 局 动 的 ! 
此 上 面 只 


和 即 可 ， 不 需要 启动 他 。 要 开始 来 侦 测 target 与 写 入 系统 信 
。 全 部 使 


用 iscsiadm 这 个 指令 就 可 以 完成 所 有 动作 了 。 
0 
侦 测 192.168.100.254 这 部 target 的 相关 数据 


虽然 我 们 已 经 知道 target 的 名 字 ， 不 过 ， 这 里 假设 还 不 知道 啦 ! 因为 有 
可 能 哪 一 


天 你 的 公司 有 钱 了 ， 会 去 买 实体 的 iSCSI 数组 嘛 ! 所 以 这 里 还 是 讲 完 
整 的 侦 测 过 程 好 


了 ! 你 可 以 这 样 使 用 : 

[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p IP:port 

选项 与 参数 : 

-m discovery : 使 用 侦 测 的 方式 进行 iscsiadmin 指令 功能 

-t sendtargets : 透 过 iscsi 的 协议 ， 侦 测 后 面 的 设备 所 拥有 的 target 数据 


-p IP:port : 就 是 那 部 iscsi 设备 的 了 P 与 塌 口 ， 不 写 塌 口 预 设 是 3260 
H 罗 | 


范例 : 侦 测 192.168.100.254 这 部 iSCSI 设备 的 相关 数据 


[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p 


192.168.100.254 


192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 


# 192.168.100.254:3260,1 : 在 此 IP, 端口 口上 面 的 target 号 码 ， 本 例 中 
为 


target1 

#iqn.2011-08.vbird.centos:vbirddisk : 丈 是 我 们 的 target 名 称 啊 ! 
[root@clientlinux ~]# 1 -R /var/lib/iscsi/nodes/ 
/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk 
/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk/192.168.100.254,326 
0,1 

# 上 面 的 特殊 字体 部 分 ， 束 是 我 们 利用 iscsiadm 侦 测 到 的 target 结果 ! 
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现在 我 们 知道 了 target 的 名 称 ， 同 时 将 所 有 侦 测 到 的 信息 通通 写 入 到 上 
述 


/var/lib/iscsi/nodes/iqn.2011-08.vbird.centos:vbirddisk/192.168.100.254,326 


0,1 目录 内 的 default 档案 中 ， 夯 信息 有 修订 过 的 话 ， 那 你 可 以 到 这 
档案 内 修改 ， 


也 可 以 透 过 iscsiadm 的 update 功能 处 理 相关 参数 的 。 
开始 进行 联机 iSCSI target 


a initiator 可 能 会 连接 多 部 的 target 设备 ， 因 此 ， 我 们 得 先 要 
瞧 瞧 


目前 系统 上 面 侦 测 到 的 target 有 几 部 ， 然后 再 找到 我 们 要 的 那 部 target 
来 进行 登 


入 的 作业 。 不 过 ， 如 有 果 你 想 要 将 所 有 侦 测 到 的 target 全 部 都 登入 的 话 ， 
那么 整个 步 


又 可 以 再 简化 : 

范例 : 根据 前 一 个 步骤 侦 测 到 的 资料 ， 启 动 全 部 的 target 
[root@clientlinux ~]# /etc/init.d/iscsi restart 

正在 停止 iscsi: [ 确定 ] 

正在 激活 iscsi: [确定 ] 

# 将 系统 里 面 全 部 的 target 通通 以 /var/lib/iscs/modes/ 内 的 设 定 登入 


# 上 面 的 特殊 字体 比较 需要 注意 啦 ! 你 只 要 做 到 这 里 即 可 ， 压 下 的 瞧 瞧 
束 好 。 


范例 : 显示 出 目前 系统 上 面 所 有 的 target 数据 : 
[root@Ocjlientlinux ~]# iscsiadm -m node 
192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 
选项 与 参数 


-m node: 找 出 目前 本 机 上 面 所 有 侦 测 到 的 target 信息 ， 可 能 并 未 登入 
喔 


苑 例 : 仅 登 入 某 部 target ， 不 要 重新 局 动 iscsi 服务 
[root@clientlinux ~]# iscsiadm -m node -T target 名 称 --login 
选项 与 参数 


-T target 名 称 : 仅 使 用 后 面 接 的 那 部 target ，target 名 称 可 用 上 个 指令 


查 到 ! 
--login : 就 是 登入 啊 ! 
[root@clientlinux ~]# iscsiadm -m node -T 
iqn.2011-08.vbird.centos:vbirddisk \ 
> --login 
进行 会 出 现 错误 ， 有 是 因为 我 们 已 经 登入 了 ， 不 可 重复 登入 喔 ! 


接 下 来 呢 ? 呵呵 ! 很 梭 的 是 ， 我 们 要 来 开始 处 理 这 个 iSCSI 的 磁 列 了 
喔 ! | 怎么 处 理 ? 


瞧 一 瞧 ! 


dh dh 
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[root@clientlinux ~]# fdisk -1 

Disk /dev/sda: 8589 MB, 8589934592 bytes <== 这 是 原 有 的 那 颗 磁盘 ， 略 
过 不 看 

…( 中 间 省 略 )..… 

Disk /dev/sdc: 2147 MB, 2147483648 bytes 

67 heads, 62 sectors/track, 1009 cylinders 

Units = cylinders of 4154 * 512 = 2126848 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

Disk /dev/sdb: 2154 MB, 2154991104 bytes 


67 heads, 62 sectors/track, 1013 cylinders 


Units = cylinders of 4154 * 512 = 2126848 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 
Disk /dev/sdd: 524 MB, 524288000 bytes 

17 heads, 59 sectors/track, 1020 cylinders 

Units = cylinders of 1003 * 512 = 513536 bytes 
Sector size (logical/physical): 512 bytes / 512 bytes 


你 会 发 现 主机 上 面 多 出 了 三 个 新 的 磁盘 ， 容 量 与 刚刚 在 
192.168.100.254 那 部 iSCSI 


target 上 面 分 享 的 LUN 一 样 大 。 那 这 三 颗 磁 盘 可 以 怎么 用 ? 你 想 怎 么 
用 天 怎么 用 啊 ! 


只 是 ， 唯 一 要 注意 的 ， 就 是 iSCSItarget 每 次 都 要 比 iSCSI initiator 这 部 
主机 还 


要 早 开 机 ， 否 则 我 们 的 initiator 恐怕 束 会 出 问题 。 
D 
更 新 /删除 /新 增 target 数据 的 方法 


如 采 你 的 iSCSItarget 可 能 因为 某 些 原 因 被 合 走 了 ， 或 者 是 已 经 不 存在 
于 你 的 区 


网 中 ， 或 者 是 要 送 修 了 ~ 这 个 时 候 你 的 iSCSI initiator 总 是 得 要 关闭 
吧 ! 但 是 ， 又 


不 能 全 部 关 掉 (/etc/init.d/iscsi stop)， 因为 还 有 其 他 的 iSCSItarget 在 使 


O 〇 


这 个 时 候 该 如 何 取消 不 要 的 target 呢 ? 很 简单 ! 流程 如 下 : 


[root@clientlinux ~]# iscsiadm -m node -T targetname --logout 


[root@clientlinux ~]# iscsiadm -m node -o [deletelnewlupdate] - 工 
targetname 

选项 与 参数 

--logout : 吏 是 注销 target， 但 是 并 没有 删除 /var/lib/iscsi/nodes/ 内 
的 数据 

-0 delete: 删除 后 面授 的 那 部 target 链接 信息 (/var/lib/iscsi/nodes/*) 
-oupdate: 更 新 相关 的 信息 
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-0 new : 增加 一 个 新 的 target 信息 。 

范例 : 关闭 来 自 乌 哥 的 iSCSItarget 的 数据 ， 并 且 移 除 链接 
[root@clientlinux ~]# iscsiadm -m node <== 还 是 先 秀 出 相关 的 target 
iqn 名 称 

192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 
[root@clientlinux ~]# iscsiadm -m node - 工 
iqn.2011-08.vbird.centos:vbirddisk \ 

> --logout 

Logging out of session [sid: 1, target: 
iqn.2011-08.vbird.centos:vbirddisk, 


portal: 192.168.100.254,3260] 


Logout of [sid: 1, target: iqn.2011-08.vbird.centos:vbirddisk, portal: 
192.168.100.254,3260] successful. 

这 个 时 候 的 target 连结 还 是 存在 的 ， 虽 然 注 销 你 还 是 看 的 到 ! 
[root@clientlinux ~]# iscsiadm -m node -o delete \ 
> -T iqn.2011-08.vbird.centos:vbirddisk 
[root@clientlinux ~]# iscsiadm -m node 
iscsiadm: no records found! <== 嘿 嘿 ! 不 存在 这 个 target 了 一 
[root@clientlinux ~]# /etc/init.d/iscsi restart 
# 你 会 发 现 喇 ! 怎么 target 的 信息 这 样 上 腑 了 平 ! 


如 果 一 切 都 没有 问题 ， 现 在 ， 请 回 到 discovery 的 过 程 ， 重 新 再 将 
iSCSI target 侦 


测 一 次 ， 再 重新 局 动 initiator 来 取得 那 三 个 磁 副 吧 ! 我 们 要 来 测试 与 利 
用 该 磁盘 吃 


18.3.3 一 个 测试 范例 

到 底 iSCSI 可 以 怎么 用 ? 我 们 就 来 玩 一 玩 。 假 设 : 

1. 你 刚刚 如 同 鸟 哥 的 整个 运作 流程 ， 已 经 在 initiator 上 面 将 target 数据 
清除 了 ; 

2. 现在 我 们 只 知道 iSCSItarget 的 IP 是 192.168.100.254 ， 而 需要 的 帐 


密 是 vbirduser, vbirdpasswd; 
3. 帐 密 信息 你 已 经 写 入 /etc/iscsi/iscsid.conf 里 面 了 
4. 假设 我 们 预计 要 将 target 的 人 磁 副 拿 来 当 作 LVM 内 的 PV 使 用 ; 


5. 并 且 将 所 有 的 人 磁 副 容量 都 给 一 个 名 为 /dev/iscsi/disk 的 LV 使 用 ; 
6. 这 个 LV 会 被 格式 化 为 ext4 ， 且 挂 载 在 /data/iscsi 内 。 

那么 ， 整 体 的 流程 是 : 
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#1. 启动 iscsi ， 并 且 开 始 侦 测 及 登入 192.168.100.254 上 面 的 target 名 
称 


[root@clientlinux ~]# /etc/init.d/iscsi restart 
[root@clientlinux ~]# chkconfig iscsi on 

[root@clientlinux ~]# iscsiadm -m discovery -t sendtargets -p 
192.168.100.254 

[root@clientlinux ~]# /etc/init.d/iscsi restart 
[root@calientlinux ~]# iscsiadm -m node 
192.168.100.254:3260,1 iqn.2011-08.vbird.centos:vbirddisk 
#2. 开始 处 理 LVM 的 流程 ， 由 PV, VG, LV 依 序 处 理 喔 ! 
[root@clientlinux ~]# fdisk -] <== 出 现 的 资料 中 你 会 发 现 
/dewsd[b-d] 

[root@clientlinux ~]# pvcreate /dev/sd{b,c,d} <== 建 立 PV 去 | 
Wiping swap signature on /dev/sdb 

Physical volume "/dev/sdb" successfully created 


Physical volume "“/dev/sdc" successfully created 


Physical volume '"/dewsdd'" successfully created 
[root@clientlinux ~]# vgcreate iscsi /dev/sd{b,c,d} <== 建 立 VG 去 ! 
Volume group "iscsi" successfully created 

[root@clientlinux ~]# vgdisplay <== 要 找到 可 用 的 容量 哎 ! 
--- Volume group --- 

VG Name iscsi 

…( 中 间 省 略 )..… 

Act PV 3 

VG Size 4.48 GiB 

PE Size 4.00 MiB 

Total PE 1148 <== 就 是 这 玩意 儿 ! 共 1148 个 ! 

Alloc PE/Size 0/0 

Free PE / Size 1148 / 4.48 GiB 

.…( 底 下 省 略 ).… 

[root@clientlinux ~]# lvcreate -] 1148 -n disk iscsi 

Logical volume "disk" created 

[root@clientlinux ~]# lvdisplay 

--- Logical volume --- 

LV Name /dev/iscsi/disk 


VG Name iscsi 


LV UUID opR64B-Zeoe-C58n-ipN2-em3O-nUYS-wj 上 EZDP 
LV Write Access read/write 

LV Status available 
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#0open0 


LV Size 4.48 GiB <== 注 意 一 下 容量 对 不 对 啊 ! 
Current LE 1148 

Segments 3 

Allocation inherit 

Read ahead sectors auto 

- Currently set to 256 

Block device 253:2 

# 3. 开始 格式 化 ， 并 且 进 行 开机 目 动 挂 载 的 动作 ! 
[root@clientlinux ~]# mkfs -t ext4 /dev/iscsi/disk 
[root@clientlinux ~]# mkdir -p /data/iscsi 
[root@clientlinux ~]# vim /etc/fstab 
/dev/iscsi/disk /data/iscsi ext4 defaults, netdev 1 2 
[root@calientlinux ~]# mount -a 

[root@clientlinux ~]# df -Th 


文件 系统 类 型 Size Used Avail Use% 挂 载 点 


/dev/mapper/iscsi-disk 
ext4 4.5G 137M 4.1G 4% /data/iscsi 


比较 特殊 的 是 /etc/fstab 里 面 的 第 四 个 字段 ， 加 上 _netdev (了 最 前 面 是 底 
线 ) 指 的 是 ， 


因为 这 个 partition 位 于 网 络 上 ， 所 以 得 要 网 络 开机 局 动 完成 后 才 会 挂 
载 的 意思 8 现 


在 ， 请 让 你 的 iSCSI initiator 重新 启动 看 看 ， 试看 看 重新 局 动 系统 后 ， 
你 的 


/data/iscsi 是 否 还 存在 昵 ? 和 人 


(全 让 我 们 切 回 iSCSI target 那 部 主机 ， 研 究 看 看 到 撒 谁 有 使 用 我 们 
yJ target 


呢 ? 


[root@www ~]# tgt-admin --show 

Target 1: iqn.2011-08.vbird.centos:vbirddisk 

System information: 

Driver: iscsi 

State: ready 

I_T nexus information: 

I_T nexus: 2 

Initiator: iqn.1994-05.com.redhat:71cf137f58f2 <== 不 是 很 
言 欢 的 名 字 ! 


Connection: 0 


IP Address: 192.168.100.10 <== 就 是 这 里 联机 进来 喝 ! 
LUN information: 
.…( 后 面 省 略 ).…. 
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明明 是 initiator 怎么 会 是 那个 redhat 的 名 字 呢 ? 如 果 你 不 介意 那 就 算 
了 ， 如 果 挺 
八 


介意 的 话 ， 那 么 修改 initiator 那 部 主机 的 /etc/iscsi/initiatorname.iscsi 这 


档案 的 内 容 ， 将 它 变 成 类 似 如 下 的 模样 即 可 : 


不 过 ， 这 个 动作 最 好 在 使 用 target 的 LUN 之 前 就 进行 ， 否 则 ， 当 
你 使 用 了 LUN 的 人 磁盘 后 ， 再 修改 这 个 档案 后 ， 你 的 磁盘 文件 名 可 
能 会 改变 。 例 如 鸟 哥 的 案例 中 ， 改 过 initiatorname 之 后 ， 原 本 的 
磁盘 文件 名 况 变 成 /dev/sd[efg] 了 ! 害 鸟 哥 的 LV 就 不 能 再 度 使 

用 了 

#1. 先 在 iSCSI initiator 上 面 进行 如 下 动作 : 


[root@clientlinux ~]# vim /etc/iscsi/initiatorname.iscsi 


ME 


InitiatorName=iqn.2011-08.vbird.centos:initiator 

[root@clientlinux ~]# /etc/init.d/iscsi restart 

#2. 在 iSCSI target 上 面 就 可 以 发 现 如 下 的 数据 修订 了 : 
[root@www ~]# tgt-admin --show 

Target 1: iqn.2011-08.vbird.centos:vbirddisk 

System information: 

Driver: iscsi 

State: ready 

I_T nexus information: 

Il_T nexus: 5 

Initiator: iqn.2011-08.vbird.centos:initiator 

Connection: 0 

IP Address: 192.168.100.10 

.…( 后 面 省 略 ).… 

18.4 重点 回顾 

0 如 果 需 要 大 容量 的 磁盘 ， 通 常会 使 用 RAID 磁 副 阵列 的 以 构 ; 
0 取得 外 部 磁盘 容量 的 作法 ， 主 要 有 NAI 及 SAN 两 大 类 的 方式 ; 


0D NAT 可 以 想 成 是 一 部 已 经 客 制 化 的 服务 器 ， 主 要 提供 NFS, SMB 等 
网 络 文件 系统 ; 


0 SAN 则 是 一 种 外 接 是 储存 设备 ， 可 以 透 过 SAN 取得 外 部 的 磁盘 装置 
( 非 文件 系 


统 ); 


USAN 早期 使 用 光纤 信道 ， 由 于 以 太 网 络 的 发 展 ， 近 来 使 用 iSCSI 协 
议 在 TCP/IP 


架构 上 面 实 作 ; 


0D iSCSI 协议 主要 分 为 iSCSI target (提供 人 磁盘 装置 者 ) 及 iSCSI initiator 
( 存 


取 target 磁盘 ); 
DiSCSItarget 主要 使 用 scsi-target-utils 软件 达成 主要 利用 tgt-admin 及 
tgtadm 指令 完成 : 


0 一 般 定义 target 名 称 为 : iqn.yyyy-mm.<reversed domain 
name>:identifier 
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0 
0 


0 一 部 target 里 面 可 分 享 多 个 人 磁盘， 每 个 磁盘 都 是 一 个 LUN; 

DO iSCSI initiator 主要 透 过 iscsi-initiator-utils 软件 达成 链接 到 target 
的 任务 ; 

DU iscsi-initiator-utils 主要 提供 iscsiadm 来 完成 所 有 的 动作 。 
18.5 本 章 习 题 


网 络 驱 动 器 机 的 运作 是 需要 很 好 的 网 络 质量 才 行 ， 我 们 这 里 仅 在 
测试 ， 


因此 ， 请 将 client 端的 initiator 关闭 ， 否则 ， 未 来 开机 都 会 怪 怪 的 ! 
(chkconfig iscsi off; vim /etc/fstab 等 等 的 动作 ! ) 

18.6 参考 数据 与 延伸 阅读 

0 注 1: SAN 与 NAS 在 维基 百科 : 


http://en.wikipedia.org/wiki/Storage_area _ network 


DD 注 2: FreeNAS 的 官网 :_http://sourceforge.net/projects/freenas/ 

D 注 3: 乌 站 网 友 彦 明 兄 对 iSCSI 的 说 明文 件 : 

0 注 4: 几 个 常见 的 将 Linux 模拟 成 iSCSI target 与 initiator 的 官网 : 
Linux SCSI target framework (tgt):_ http://stgt.sourceforge.net/ 
Linux-iSCSI Project:_http://linux-iscsi.sourceforge.net/ 
Open-iSCSI:_http://www.open-iscsi.org/ 

0 注 5: iSCSI 内 的 iqn 及 LUN 意义 说 明 : 
http://en.wikipedia.org/wiki/ISCSI 


0 注 6: 乌 站 之 到 彦明 兄 担 供 的 民 好 文献 ， 以 及 相关 的 initiator 设 定 方 
也 : 


iSCSI (client) howto: 
http:/www.cyberciti.biz/tips/rhel-centos-fedora-linux-iscsi-howto.ht 


ml 


马 站 旧版 资料 : 


raid iscsi 


0 


e Server 
2011/04/08: 重新 编辑 本 数据 哩 ! 


2011/04/25: 历经 多 个 礼拜 的 杂事 杂 务 缠身 ， 终 于 完成 这 篇 iSCSI 的 模 
拟 应 用 。 应 该 


征 挺 好玩 的 一 个 噬 咯 一 


2011/08/02: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


net.giang@hotmail.com 


0 


第 四 部 分 :常见 因特网 服务 句 架 设 
全 


讲 到 因特网 服务 器 ， 你 第 一 个 会 想到 的 应 该 整 是 WWW 还 有 FTP 吧 ! 
但 其 实 还 有 一 


个 更 重要 的 你 可 能 会 不 知道 他 的 存在 ， 那 束 是 DNS ! 这 才 是 重点 中 的 
重点 一 因为 我 们 


都 是 使 用 主机 名 来 联机 的 嘱 ! 这 部 份 一 定 会 使 用 到 DNS 服务 硒 ， 因 此 
我 们 当然 要 了 解 


一 下 。 最 后 再 跟 大 家 报告 邮件 服务 紫 ! 这 些 服务 絮 的 设 定 以 及 未 来 的 
应 用 是 非常 好 玩 


的 ， 不 过 如 采 最 前 面 的 两 篇 您 没有 预先 谈 过 ， 那么 您 的 服务 闫 被 入 侵 
也 是 一 个 可 以 『 预 


期 1 的 后 琳 ! 所 以 踊 ， 看 完 前 两 篇 后 ， 仔 细 的 开始 瞧 一 瞧 这 一 篇 的 服 


务 器 吧 ! 人 和 
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第 十 九 童 、 主 机 名 控制 者 ;DNS 服务 器 
最 近 更 新 日 期 : 2011/08/05 


我 们 都 知道 ， 在 『 记 忆 J4 的 角色 上 ， 人 脑 总 是 不 如 计算 机 的 ， 而 人 们 
对 文字 的 印象 又 比 数字 高 。 因 此 ， 


想 要 使 用 纯粹 的 TCP/ 耻 来 上 了 网， 实在 不 好 记忆 又 很 麻烦 。 为 了 适应 人 
类 的 使 用 习惯 ， 因 此 一 个 名 为 DNS 


的 服务 ， 帮 有 我 们 将 主机 名 解析 为 卫 好 让 大 家 只 要 记得 主机 名 就 能 使 用 
Internet 的 唆 只 就 这 么 诞生 啦 ! 


在 这 一 章 当 中 ， 我 们 会 谈 一 谈 DNS 服务 内 的 正 、 反 解 zone 的 意义 ， 
解析 主机 名 的 授权 概念 与 整体 得 询 


流程 ， 以 及 master/slave DNS 服务 的 配置 等 等 哟 ! 赶紧 动 动 脑 移 一 


19.1 什么 是 DNS 


济源:_ /etc/hosts, DNS, FQDN 


= 


Wa 


19.1.4 主机 名 交 由 TISP 代 管 还 是 自己 设 定 DNS 服务 器 


19.1.5 DNS 数据 库 的 记录 : 正解, 反 解 , Zone 的 意义 


19.5.1 master DNS 的 


19.5.2 Slave DNS 的 设 定 与 交 可 题 


19.6 DNS 服务 器 的 进 阶 设 定 


19.6.1 架设 一 个 合法 授权 的 DNS 服务 器 
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各 
19.6.2 LAME Server 的 问题 


19.6.3 利用 RNDC 指令 管理 DNS 服务 器 


19.6.4 架设 动态 DNS : 计 你 成 为 ISP 啦 ! 

19.7 重点 回顾 

19.8 本 章 习 题 

19.9 参考 数据 与 延伸 阅读 

19.10 针对 本 文 的 建议 :http://phorum.vbird.org/viewtopic.php?p=115692 


19.1 什么 是 DNS 


DNS 越 来 越 重要 ， 尤 其 未 来 IPv6 这 个 需要 128bits 地 址 的 玩意 儿 。 因 
为 我 们 连 


IPv4 的 32bits 都 背 不 起 来 了 ，128bits 要 怎么 背 ? 这 时 主机 名 自动 解析 
为 IP 就 


很 重要 啦 ! 那 就 是 DNS。 但 是 DNS 的 架设 有 点 麻烦 ， 重 点 是 原理 的 部 
分 比较 不 好 理解 。 


因此 在 这 个 小 节 当 中 ， 让 我 们 先 来 谈 谈 与 网 络 主机 名 有 关 的 一 些 知 
识 ， 这 样 架设 DNS 才 


不 会 出 问题 。 
19.1.1 用 网 络 主机 名 取得 IP 的 历史 渊源 


目前 的 因特网 世界 使 用 的 是 所 请 的 TCP/IP 协议 ， 其 中 IP 为 第 四 版 的 
IPV4。 不 


过 ， 这 个 IPv4 是 由 32 位 所 组 成 ,为 了 人 脑 已 经 转 成 四 组 十 进 制 的 数 
字 了 ， 例 如 


12.34.56.78 这 样 的 格式 。 当 我 们 利用 Internet 传送 数据 的 时 候 ， 束 需要 


IE: 

否则 数据 封包 怎么 知道 要 被 送 到 哪里 去 ? 
四 

单一 档案 处 理 上 网 的 年 代 : /etc/hosts 


然而 人 脑 对 于 IP 这 种 数字 的 玩意 儿 ， 记 忆 力 实在 是 不 怎么 样 。 但 是 要 
上 Internet 


又 一 定 需 要 了 P， 怎 么 办 ? 为 了 应 付 这 个 问题 ， 早期 的 朋友 想到 一 个 方 
法 ， 那 加 是 利用 


某 些 特定 的 档案 将 主机 名 与 IP 作 一 个 对 应 ， 如 此 一 来 ， 我 们 束 可 以 透 
过 主机 名 来 取 


得 该 主机 的 IP 了 ! 真是 个 好 主意 ， 因 为 人 类 对 于 名 字 的 记忆 力 可 就 好 
多 了 ! 那 就 是 


/etc/hosts 这 个 档案 的 用 途 了 。 


可 惜 的 古 ， 这 个 方法 还 是 有 缺憾 的 ， 那 束 古 主机 名 与 IP 的 对 应 无 法 目 
动 于 所 有 的 


计算 机 内 更 新 ， 且 要 将 主机 名 加 入 该 档案 仅 能 向 INTERNIC 注册 ， 若 
IP 数量 太 多 时 ， 


该 档案 会 大 到 不 象 话 ， 也 就 更 不 利于 其 他 主机 同步 化 了 。 如 下 图 所 
示 ， 客 户 端 计算 机 


每 次 都 得 要 重新 下 载 一 次 档案 才能 顺利 联网 ! 
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INTERNIC 2. 等待 人员 不 理 将 独 站 


3 7 
'. 
A fy, 
"IAA 和 
了 7 六 和 


所 一 4. 过 时 才能 开始 联 移 - 

图 19.1-1、 早 期 透 过 单一 档案 进行 网 络 联机 的 示意 图 

在 第 四 章 4.2.1 里 面 我 们 约略 谈 过 /etc/hosts 这 个 档案 的 用 法 ， 基 本 上 该 
档案 


/MN ° Nf 


内 容 束 是 【IP 主机 名 主机 别名 一 主机 别名 二 .….J 。 在 里 面 最 重要 的 整 


是 localhost 


对 应 到 127.0.0.1 这 个 吃 吃 ! 你 千 万 不 能 删除 该 笔记 录 的 。 这 里 也 再 次 
强调 ， 在 你 的 


网 域内 部 ， 最 好 将 所 有 的 私有 IP 与 主机 名 对 应 都 写 入 这 个 档案 中 
六 1 


0 
分 布 式 、 阶 层 式 主机 名 管理 架构 : DNS 系统 


早期 网 络 尚 未 流行 且 计 算 机 数量 不 多 时 ，/etc/hosts 倒是 还 够 用 的 ， 但 
自从 90 年 


代 网 络 热门 化 后 ， 单 一 档案 /etc/hosts 的 联网 问题 就 发 生 上 面 讲 的 状况 
啦 ! 为 了 解决 


这 个 日 益 严 重 的 问题 ， 柏 克 莱 大 学 发 展 出 另外 一 套 阶 层 式 管理 主机 名 
对 应 IP 的 系统 ， 


我 们 称 它 为 Berkeley Internet Name Domain, BIND ， 这 个 系统 可 就 优秀 
的 多 了 一 透 


过 阶层 式 管 理 ， 可 以 轻松 的 进行 维护 的 工作 ~~ 太 村 了 ! 这 也 是 目前 全 
世界 使 用 最 广泛 的 


领域 名 系统 (Domain Name System, DNS) 哩 一 透 过 DNS ， 我 们 不 需要 
知道 主机 的 IP ， 


只 要 知道 该 主机 的 名 称 ， 整 能够 轻易 的 连 上 该 主机 了 ! 


DNS 利用 类 似 树 状 目 录 的 架构 ， 将 主机 名 的 管理 分 配 在 不 同 层级 的 
DNS 服务 絮 当 


中 ， 经 由 分 层 管理 ， 所 以 每 一 部 DNS 服务 器 记忆 的 信息 就 不 会 很 多 ， 
而 且 兰 有 了 全 异 


动 时 也 相当 容易 修改 ! 因为 你 如 果 已 经 申请 到 主机 名 解析 的 授权 ， 那 
么 在 你 自己 的 DNS 


服务 絮 中 ， 束 能 够 修改 全 世界 都 可 以 查询 到 的 主机 名 了 ! 而 不 用 透 过 
上 层 ISP 的 维护 


呢 ! 目 己 动手 当然 是 最 快 的 啦 ! 
由 于 目前 的 IPv4 已 经 接近 发 送 完毕 的 阶段 ， 因 此 未 来 那个 128bits 的 


IPv6 会 


逐渐 热门 起 来 。 那 么 你 需要 背 128bits 的 卫 来 上 网 吗 ? 想必 是 不 可 能 
的 ! 因此 这 个 


可 以 透 过 主机 名 就 解析 到 IP 的 DNS 服务 ， 可 以 想象 的 到 ， 它 会 越 来 
越 重要 。 此 外 ， 


目前 全 世界 的 WWW 主机 名 也 都 是 透 过 DNS 系统 在 处 理 IP 的 对 应 ， 
所 以 ， 当 DNS 挂 


点 时 ， 我 们 将 无 法 透 过 主机 和 名 来 联机 ， 那 孢 几乎 相当 于 没有 Internet 
hd 

因为 DNS 古 这 么 的 重要 ， 所 以 即使 我 们 没有 架设 它 的 必要 时 ， 还 是 得 
下 


它 的 原理 才 好 。 因 此 ， 跟 DNS 有 关 的 FQDN、Hostname 与 IP 的 查询 
流程 ， 正 解 与 反 


解 、 合 法 授权 的 DNS 服务 器 之 意义 ， 以 及 Zone 等 等 的 知识 作 一 个 认 
识 才 行 ! 
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Tips: 
在 底下 的 说 明 当 中 ， 我 们 有 时 会 提 到 DNS 有 时 会 提 到 BIND ， 这 有 
什么 不 同 ? 由 上 面 的 说 明 里 面 ， 你 可 以 了 解 到 ， DNS 是 一 种 因 特 


网 的 通讯 协议 名 称 ， 至 于 Bind 则 是 提供 这 个 DNS 服务 的 软件 一 
这 样 你 了 解 了 吗 ? ! 
0 


完整 主机 名 : Fully Qualified Domain Name (FQDN) 


第 一 个 与 DNS 有 关 的 主机 名 概念 ， 就 是 『 主 机 名 与 领域 名 (hostname 


and domain 


name)J 的 观念 ， 以 及 由 这 两 者 组 成 的 完整 主机 名 Fully Qualified 
Domain Name, FQDN 


的 意义 了 。 在 讨论 这 个 主题 之 前 ， 我 们 来 聊 一 聊 比较 生活 化 的 话题 : 
0 以 区 域 来 区 分 同名 同姓 者 的 差异 : 网 络 世 界 其 实 有 很 多 人 目 称 为 


『 乌 哥 J 


的 ， 包 括 数 人 在 下 小 生 我 啦 ! 那么 你 怎么 知道 此 乌 哥 非 彼 乌 哥 呢 ? 这 
个 时 候 你 


可 以 利用 每 个 乌 哥 的 所 在 地 来 作为 区 分 啊 ， 比 如 说 台南 的 乌 哥 与 台北 


的 乌 哥 等 。 


那 万 一 台南 还 有 两 个 人 目 称 乌 哥 怎么 办 ? 没关系 ， 你 还 可 以 依照 乡镇 
来 区 分 呢 ! 


比如 说 全 南北 区 的 乌 哥 及 台南 中 区 的 乌 哥 。 如 有 果 将 这 个 吃 吃 列 出 来 ， 
束 有 点 像 


这 样 : 


上 皮 
型 型 
于 其 
Ix! 区 | 
丰收 
天 型 


最 
划 
o> 
去 


0 是 人 否 葡 可 以 分 辨 每 个 乌 哥 的 不 同 点 了 呢 ? 呵呵 ! 没 错 ! 区 是 这 样 ! 那 
个 地 区 殉 是 


[领域 (domain) 」 ， 而 乌 哥 束 是 主机 名 啦 ! 


四 另外 一 个 例子 可 以 使 用 电话 号 
码 来 看 ， 


假如 高 雄 有 个 1234567 而 台南 也 有 个 1234567， 那 么 (1) 你 在 高 雄 直 接 
拨 接 


1234567 时 ， 他 会 直接 挂 入 高 雄 的 1234567 电话 中 ，(2) 但 如 果 你 要 找 
到 人 台南 去 ， 


束 得 加 入 (06) 这 个 区 码 才 行 ! 我 们 束 是 使 用 区 码 来 做 为 辨识 之 用 的 ! 
此 时 那个 


06 区 码 就 是 domain name， 而 电话 号 人 码 就 是 主机 名 路 ! 


有 没有 一 点 点 了 解 乌 哥 想 表 达 的 啦 ? 我 们 上 面 讲 到 ，DNS 是 以 树 状 目 
隶 分 阶层 的 方 


式 来 处 理 主机 名 ， 那 我 们 知道 树 状 目 录 中 ， 那 个 目录 可 以 记录 文件 
名 。 那 么 DNS 记录 


的 哪个 吃 吃 跟 『 目 隶 3 有关? 丈 是 那个 领域 名 。 领 域名 故 下 还 可 以 记 
录 各 个 主机 名 ， 组 


合 起 来 才 是 完整 的 主机 名 (FQDN)。 
举例 来 说 ， 我 们 常常 会 发 现 主 机 名 都 是 www 的 网 站 ， 例 如 


www.google.com.tw, 


www.seednet.net, www.hinet.net 等 等 ， 那 么 我 们 怎么 知道 这 些 www 名 


称 的 主机 在 不 
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Domain name : .tw 
,OV.tw .com.tw Hostname : gov, edu, com 


Domain name : .edu.tw 
Hostname : ntu, ksu, ncku 
.ncku.edu.tw 


Domain name : .ksu.edu,tw 
Www.ksu,edu,tw Hostname : www 
Sa 
《Ge 


同 的 地 方 呢 ? 承 需 要 给 他 领域 名 嚼 ! 也 就 


是 .google.com.tw, .seednet.net, .hinet.net 等 等 的 不 同 ， 所 以 即使 你 的 主 
机 名 相 


同 ,但 是 只 要 不 是 在 同一 个 领域 内 ， 那 么 就 可 以 被 分 辨 出 不 同 的 位 置 
虽 ! 


我 们 知道 目录 树 的 最 项 层 是 根 目录 ()， 那 么 DNS 既然 也 是 阶层 式 的 ， 
最 顶层 是 


啥 呢 ? 每 一 层 的 domain name 与 hostname 又 该 怎么 分 ? 我 们 举 乌 哥 所 
在 的 昆山 科大 


的 WWW 服务 器 为 例 好 了 (www.ksu.edu.tw) : 


图 19.1-2、 分 阶层 的 DNS 架构 ， 以 昆山 科大 为 例 hostname & domain 


name) 


在 上 上面 的 例子 当中 ， 由 上 同 下 数 的 第 二 层 里 面 ， 那 个 .tw 是 domain 


name ， 而 com, 


edu, gov 则 是 主机 的 名 称 ， 而 在 这 个 主机 的 名 称 之 管理 下 ， 还 有 其 他 更 
小 网 域 的 主机 ， 


所 以 在 第 三 层 的 上 时候， 基本 上 ， 那 个 edu.tw 就 变 成 了 了 domain name 
了 ! 而 昆山 科大 


与 成 大 的 ksu, ncku 则 成 为 了 hostname 中 ! 
以 此 类 推 ， 最 后 得 到 我 们 的 主机 那个 www 是 主机 名 ， 而 domain name 
是 由 


ksu.edu.tw 那个 名 字 所 决定 的 ! 上 自然， 我 们 的 主机 就 是 让 管理 


ksu.edu.tw 这 个 


domain name 的 DNS 服务 器 所 管理 的 咀 ! 这 样 是 否 了 解 了 domain name 
与 hostname 


的 不 同 了 呢 ? 

Tips: 

并 不 是 以 小 数 点 (.) 区 分 domain name 与 hostname 喔 ! 某 些 时 
刻 domain name 所 管理 的 hostname 会 含有 小 数 点 。 举例 来 说 ， 
鸟 哥 所 在 的 信息 传播 系 并 没有 额外 的 DNS 服务 器 架设 ， 

因此 我 们 的 

主机 名 为 www.dic ， 而 domain name 还 是 ksu.edu.tw ， 因 此 全 


名 为 www.dicksuedutw 哩 ! 


19.1.2 DNS 的 主机 名 对 应 IP 的 查询 流程 


net.giang@hotmail.com 
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约略 了 解 了 FQDN 的 domain name 与 hostname 之 后 ， 接 下 来 我 们 要 谈 


= 这 个 


DNS 的 : (1) 阶 层 架 构 古 怎样 ?2 (2) 但 询 原 理 是 怎样 ? 总 是 要 和 多 知道 以 
构 才 能 知道 如 何 


查询 主机 名 的 呐 ! 所 以 底下 我 们 先 来 介绍 一 下 整体 的 DNS 阶层 架构 。 


品 


DNS 的 阶层 架构 与 TLD 


我 们 依旧 使 用 台湾 学 术 网 络 的 DNS 服务 器 所 管理 的 各 domain 为 例 ， 
将 最 上 层 到 


昆山 科大 (ksu) 时 ， 之 间 的 各 层 绘制 如 下 图 : 
图 19.1-3、 从 最 上 层 到 昆山 科大 之 间 的 DNS 阶层 示意 图 


在 整个 DNS 系统 的 最 上 方 一 定 是 . (小 数 点 ) 这 个 DNS 服务 右 ( 称 大 
root)， 最 


早 以 前 它 底 下 管理 的 就 只 有 (1)com, edu, gov, mil, org, .net 这 种 特殊 领 
域 以 及 (2) 


以 国家 为 分 类 的 第 二 层 的 主机 名 了 ! 这 两 者 称 为 Top Level Domains 
(TLDs) 喔 | 


0 一 般 最 上 层 领 域名 (Generic TLDs, gTLD): 例如 .com, .org, .gov 等 等 


0 国 码 最 上 层 领 域名 (Country code TLDs, ccTLD): 例如 .tw .uk, .jp, .cn 


等 
可 


先 来 谈 谈 一 般 最 上 层 领 域 (gTLD) 好 了 ， 最 早 root 仅 管理 六 大 领域 名 ， 
分 别 如 下 : 


名 称 
代表 意义 


组 织 、 机 构 
net.giang@hotmail.com 
edu 

教育 单位 


gOV 


政府 单位 


net 

网 络 、 通 讯 
mil 

军事 单位 


0 因此 后 来 除了 上 述 的 六 大 类 别 之 外 ， 
还 有 庄 


如 .asia, .info, .jobs ( 注 1) 等 领域 名 的 开放 。 此 外 ， 为 了 让 某 些 国家 也 能 
够 有 目 


己 的 最 上 层 领域 名 ， 因 此 ， 就 有 所 谓 的 ccTLD 了。 这 样 做 有 什么 好 处 
呢 ? 因为 目 己 的 


国家 内 有 最 上 层 ccTLD ， 所 以 如 果 有 domain name 的 需求 ， 则 只 要 回 
目 己 的 国家 申请 


即 可 ， 不 需要 再 到 最 上 层 去 申请 喝 ! 
0 
授权 与 分 层 负 责 


既然 TLD 这 么 好 ， 那 么 是 否 我 们 可 以 目 己 设 定 TLD 呢 ? 当然 不 行 ! 
因为 我 们 得 向 


上 层 ISP es 大 域名 的 授权 才 行 。 例 如 台湾 地 区 最 上 层 的 领域 名 是 以 
.tw 为 开头 ， 


理 这 个 领域 名 的 机 融 人 P 是 在 台湾 ， 但 是 .tw 这 部 服务 右 必 须 癌 root (.) 
注册 领域 


名 查询 授权 才 行 (如 上 图 19.1-3 所 示 )。 


那么 每 个 国家 之 下 记录 的 主要 下 层 有 哪些 领域 呢 ? 基本 上 融 是 原先 root 
管理 的 


那 六 大 类 。 不 过 ， 由 于 各 层 DNS 都 能 管理 目 己 辖 下 的 主机 名 或 子 领 
域 ， 因 此 ， 我 们 


的 .tw 可 以 目 行规 划 目 己 的 子 领域 名 喔 ! 例如 目前 台湾 ISP 第 提供 的 


.idv.tw 的 个 
人 网 站 就 是 一 例 啊 ! 
再 强调 一 次 ，DNS 系统 是 以 所 谓 的 阶层 式 的 管理 ， 所 以 ， 请 注意 喔 ! 


那个 .tw 只 


记录 底下 那 一 层 的 这 数 个 主要 的 domain 的 主机 而 已 ! 至 于 例如 edu.tw 
底下 还 有 个 


ksu.edu.tw 这 部 机 器 ， 那 就 直接 授权 交 给 edu.tw 那 部 机 器 去 管理 了 ! 也 
就 是 说 『 


个 上 一 层 的 DNS 服务 器 所 记录 的 信息 ， 其 实 只 有 其 下 一 层 的 主机 名 而 
已 ! J 至 于 再 下 


一 层 ， 则 直接 『 授 权 J 给 下 层 的 某 部 主机 来 管理 虽 ! 呵呵 ! 所 以 你 就 
应 该 会 知道 DNS 到 


搬 古 如 何 管理 的 吧 


会 这 样 设 定 的 原因 不 是 没有 道理 的 ! 这 样 设计 的 好 处 就 是 ， 每 部 机 器 
管理 的 只 有 下 


一 层 的 hostname 对 应 IP 而 已 ， 所 以 减少 了 管理 上 的 困扰 ! 而 下 层 
Client 端 如 果 有 


问题 ， 只 要 询问 上 一 层 的 DNS server 即 可 ! 不 需要 跨越 上 层 ， 除 错 上 
面 也 会 比较 稍 单 


呢 ! 


0 
透 过 DNS 查询 主机 名 IP 的 流程 


net.giang@hotmail.com 


ksu,edu.tw €du.tw 


WWWw,ksu,edu.tw 


刚刚 说 过 DNS 十 以 类 似 『 树 状 目 录 4 的 型 仿 来 进行 主机 名 的 管理 的 ! 
所 以 每 一 部 


DNS 服务 融 都 了 仅 管 理 目 己 的 下 一 层 主 机 名 的 转 详 4 而 已 ， 至 于 下 层 
的 下 层 ， 则 『 授 


权 J 给 下 层 的 DNS 主机 来 管理 啦 ! 这 样 说 好 像 很 绕 口 ， 好 吧 ! 我 们 就 
以 下 图 来 说 一 说 


原理 中 : 
图 19.1-4、 透 过 DNS 系统 查询 主机 名 人 解 译 的 流程 


首先 ， 当 你 在 浏 贤 器 的 网 址 列 输入 http:/www.ksu.edu.tw 上 时， 你 的 计算 
机 束 会 


依据 相关 设 定 (在 Linux 底下 就 是 利用 /etc/resolv.conf 这 个 档案 ) 所 提供 
的 DNS 


的 IP 去 进行 联机 查询 了 。 由 于 日 前 最 常见 的 DNS 服务 器 就 属 Hinet 的 
168.95.1.1 


这 个 DNS， 所 以 我 们 避 ® 拿 他 来 做 例子 吧 ! 咽 ! 这 个 时 候 ，hinet 的 这 部 
服务 紫 会 这 样 工 


作 : 
1. 收 到 用 户 的 查询 要 求 ， 先 查看 本 身 有 没有 纪 杂 ， 若 无 则 向 . 查询 : 


由 于 DNS 是 阶层 式 的 架构 ， 每 部 主机 都 会 管理 自己 辖 下 的 主机 名 解 译 
而 已 。 


为 hinet 并 没有 管理 台湾 学 术 网 络 的 权力 ， 因此 束 无 法 直接 回报 给 客户 
癌 。 此 


时 168.95.1.1 就 会 同 最 顶层 ， 也 就 是 . (root) 的 服务 器 查询 相关 IP 信 
自 。 


2. 向 最 顶层 的 . (root) 查询 : 


168.95.1.1 会 主动 的 向 . 询问 www.ksu.edu.tw 在 哪里 呢 ? 但 是 由 于 . 只 
记 


录 了 .tw 的 信息 (因为 台湾 只 有 .tw 向 .注册 而 已 )， 此 时 . 会 告知 『 我 
是 


不 知道 这 部 主机 的 他 啦 ， 不过， 你 应 该 向 .tw 去 询问 才 对 ， 我 这 里 不 
管 ! 我 


跟 你 说 .tw 在 哪里 吧 ! ] 

3. 向 第 二 层 的 .tw 服务 器 查询 : 

168.95.1.1 接着 又 到 .tw 去 查询 ， 而 该 部 机 器 管理 的 又 仅 

有 .edu.tw, .com.tw, govtw.. 那儿 部 主机 ， 经 过 比 对 后 发 现 我 们 要 的 


征 .edu.tw 的 网 域 ， 所 以 这 个 时 候 .tw 又 告诉 168.95.1.1 说 : 『 你 要 去 


管 

理 .edu.tw 这 个 网 域 的 主机 那里 查询 ， 我 有 他 的 了 P! J 
net.giang@hotmail.com 

4. 向 第 三 层 的 .edu.tw 服务 器 查询 : 


同 理 可 证 ， .edu.tw 只 会 告诉 168.95.1.1 ， 应 该 要 去 .ksu.edu.tw 进行 查 
询 ， 


这 里 只 能 告知 .ksu.edu.tw 的 IP 而 已 。 

5. 回 第 四 层 的 .ksu.edu.tw 服务 器 查询 : 

等 到 168.95.1.1 找到 .ksu.edu.tw 之 后 ， Bingo ! .ksu.edu.tw 说 : 
『 没 错 ! 


这 部 主机 名 是 我 管理 的 ~ 我 跟 你 说 他 的 卫 是 ... 所 以 此 时 168.95.1.1 就 
能 


够 查 到 www.ksu.edu.tw 的 IP 喝 ! 
6. 记录 和 暂 存 内 存 并 回报 用 户 : 
查 到 了 正确 的 IP 后 ，168.95.1.1 的 DNS 机 器 总 不 会 在 下 次 有 人 查询 


www.ksu.edu.tw 的 时 候 再 跑 一 次 这 样 的 流程 吧 ! 粉 远 粉 囚 的 呐 ! 而 且 
也 很 耗 系 


统 的 资源 与 网 络 的 带宽 ， 所 以 呢 ，168.95.1.1 这 个 DNS 会 很 聪明 的 先 
记录 一 份 


查询 的 结果 在 自己 的 暂 存 内 存 当 中 ， 以 方便 响应 下 一 次 的 相同 要 求 
啊 ! 最 后 则 


将 结果 回报 给 client 器 ! 当然 啦 ， 那 个 记忆 在 cache 当中 的 数据 ， 其 


是 有 


时 间 性 的 ， 当 过 了 DNS 设 定 记忆 的 时 间 (通常 可 能 是 24 小 时 )， 那 么 
该 记录 就 


会 被 释放 喔 ! 


整个 分 层 查 10 是 得 要 先 经 过 .来 癌 下 一 层 进 行 查 
询 ， 最 终局 


苹 能 得 到 管 案 的 。 这 样 分 层 的 好 处 是 : 
0 主机 名 修改 的 仅 需 自己 的 DNS 更 动 即 可 ， 不 需 通知 其 他 人 : 


当 一 个 【合法 4 的 DNS 服务 右 里 面 的 设 定 修改 了 之 后 ， 来 目 世 界 各 地 
a 


DNS 的 要 求 ， 都 会 正确 无 误 的 显示 正确 的 主机 名 对 应 IP 的 信息 ， 因 为 
他 们 会 一 


层 一 层 的 寻找 下 来 。 所 以 ， 要 找 你 的 主机 名 对 应 的 IP 束 一 定 得 要 透 过 
你 的 上 层 


DNS 服务 器 的 纪录 才 行 ! 因此 ， 只 要 你 的 主机 名 字 是 经 过 上 层 『 合 法 
的 DNSJ 服 


oe 设 定 的 ， 那 么 就 可 以 在 Internet 上 面 被 查询 到 啦 ! 呵呵 ! 很 简单 维 
吧 


机 动 性 也 很 高 。 
0 DNS 服务 絮 对 主机 名 解析 结 来 的 快 取 时 间 |: 


由 于 每 次 查询 到 的 结果 都 会 储存 在 DNS 服务 器 的 高 速 缓存 中 ， 以 方便 
在下 次 有 


相同 需求 的 解析 时 ， 能 够 快速 的 响应 。 不 过 ， 查 询 结果 已 经 被 快 取 
了 ， 但 是 原 


A DNS 的 主机 名 与 IP 对 应 却 修改 了 ， 此 时 和 若 有 人 再 次 查询 ， 系统 可 
能 会 回报 


旧 的 耳 喔 ! 所 以 ， 在 快 取 内 的 答案 是 有 时 间 性 的 ! 通 篆 十 数 十 分 钟 到 
= 


这 也 是 为 什么 我 们 常 说 当 你 修改 了 一 个 domain name 之 后 ， 可 能 要 2~ 
3 天 后 


才能 全 面 的 局 用 的 绿 故 图 ! 
0 可 持续 向 下 授权 ( 子 领域 名 授权 ): 


每 一 部 可 以 记录 主机 名 与 IP 对 应 的 DNS 服务 器 都 可 以 随意 更 动 他 目 
己 的 数据 


库 对 应 ， 因 此 主机 名 与 域名 在 各 个 主机 后 下 都 不 相同 。 举 例 来 说 ， 


idv.tw 是 


仅 有 台湾 才 有 这 个 idv 的 网 域 ~ 因为 这 个 idv 是 由 .tw 所 管理 的 ， 所 以 


口 
人 人 


台湾 .tw 维护 小 组 同意 ， 就 能 够 建立 该 网 域 喔 ! 


好 啦 ! 既然 DNS 这 么 棒 ， 然 后 我 们 又 需要 以 站 ， 所 以 需要 一 个 主机 的 
名 称 ， 那 么 


我 们 需要 架设 DNS 了 吗 ? 当然 不 是 ， 为 什么 呢 ? 刚刚 乌 哥 提 到 了 很 多 
次 的 『 合 法 J 的 


net.giang@hotmail.com 


字眼 ， 因 为 他 就 率 涉 到 『 授 权 J 的 问题 了 ! 我 们 在 第 十 童 当中 也 提 
到 ， 只 要 主机 名 合 


法 即 可 ， 不 见得 需要 架设 DNS 的 啦 ! 
例题 : 
透 过 dig 实 作出 本 小 节 谈 到 的 . --> .tw --> .edu.tw --> .ksu.edu.tw --> 


www.ksu.edu.tw 的 查询 流程 ， 并 分 析 每 个 查询 阶段 的 DNS 服务 器 有 几 
部 ? 


事实 上 ， 
用 退 踩 


功能 (+trace) 就 能 够 达到 这 个 目的 了 。 使 用 方式 如 下 : 


个 指令 来 实 作出 喔 ! 使 


[root@Owww~]#dig +trace www.ksu.edu.tw 

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-16.P1.el5 <<>>+trace www.ksu.edu.tw 
;; global options: printcmd 

. 486278 IN NS a.root-servers.net. 

. 486278 IN NS b.root-servers.net. 

…(/ 磺 下 省 略 )..… 

# 上 面 的 部 分 在 追踪 . 的 服务 右 ， 可 从 a ~ m.root-servers.net. 
;; Received 500 bytes from 168.95.1.1#53(168.95.1.1) in 22 ms 
tw. 172800 IN NS ns.twnic.net. 

tw. 172800 IN NS a.dns.tw. 

tw. 172800 IN NS b.dns.tw. 


…(/ 磺 下 省 略 )..… 


# 上 面 的 部 分 在 奶 踩 .tw. 的 服务 右 ， 可 从 a~h.dns.tw. 包括 
ns.twnic.net. 

;; Received 474 bytes from 192.33.4.12#53(c.root-servers.net) in 168 
ms 

edu.tw. 86400 IN NS a.twnic.net.tw. 

edu.tw. 86400 IN NS b.twnic.net.tw. 

# 追踪 .edu.tw. 的 则 有 7 部 服务 履 

;; Received 395 bytes from 192.83.166.11#53(ns.twnic.net) in 22 ms 
ksu.edu.tw. 86400 IN NS dns2.ksu.edu.tw. 

ksu.edu.tw. 86400 IN NS dns3.twaren.net. 

ksu.edu.tw. 86400 IN NS dns1.ksu.edu.tw- 

;; Received 131 bytes from 192.83.166.9#53(a.twnic.net.tw) in 22 ms 
www.ksu.edu.tw. 3600 IN A 120.114.100.101 

ksu.edu.tw. 3600 IN NS dns2.ksu.edu.tw. 

ksu.edu.tw. 3600 IN NS dns1.ksu.edu.tw. 

ksu.edu.tw. 3600 IN NS dns3.twaren.net. 

;; Received 147 bytes from 120.114.150.1#53(dns2.ksu.edu.tw) in 14 ms 


的 


入 


最 终 的 结果 有 找到 A (Address) 是 120.114.100.101， 不 过 这 个 例题 的 重 
点 是 


疾 王 


net.giang@hotmail.com 


0 


让 大 家 瞧 瞧 整个 DNS 的 搜寻 过 程 ! 在 dig 加 上 +trace 的 选项 后 ， 束 能 
够 达到 这 


个 目的 。 至 于 其 他 的 都 是 服务 器 (NS) 的 设 定 值 与 追踪 过 程 喔 ! 有 没有 
很 清 苞 啊 ? 


和 人。 至 于 A 与 NS 等 相关 的 数据 ， 我 们 在 后 续 的 DNS 数据 库 介 绍 


中 ， 再 分 别 介绍 


喝 。 


UD 
DNS 使 用 的 port number 
好 了 ， 既 然 DNS 系统 使 用 的 是 网 络 的 查询 ， 那 么 自然 需要 有 监听 的 


port 史 ! 没 


错 ! 很 合理 ! 那么 DNS 使 用 的 是 那 一 个 port 呢 ? 那 融 是 53 这 个 port 
啦 ! 你 可 以 


到 你 的 Linux 底下 的 /etc/services 这 个 档案 看 看 ! 搜寻 一 下 domain 这 个 
天 键 词 ， 


就 可 以 查 到 53 这 个 port 啦 ! 


但 是 这 里 需要 跟 大 家 报告 的 是 ， 通 常 DNS 查询 的 时 候 ， 是 以 udp 这 个 
较 快 速 的 数 


据 传 输 协议 来 查询 的 ， 但 是 万 一 没有 办 法 查询 到 完整 的 信息 时 ， 束 会 
再 次 的 以 tcp 这 


个 协定 来 重新 查询 的 ! 所 以 启动 DNS 的 daemon (就 是 named 啦 ) 时 ， 
会 同时 启动 tcp 


及 udp 的 port 53 喔 ! 所 以 ,记得 防火 墙 也 要 同时 放行 tcp, udp port 53 


呢 ! 
19.1.3 合法 DNS 的 关键 : 申请 领域 查询 授权 


什么 ? DNS 服务 硕 的 架设 还 有 【合法 4 与 『 不 合法 4 之 分 喔 ? 不 是 像 
其 他 的 服务 郁 


一 样 ， 架 设 好 之 后 人 家 束 查 的 到 吗 ? 非 也 非 也 ! 为 什么 呢 ? 质 下 我 们 


就 来 谈 一 谈 。 
0 
向 上 层 领 域 注册 取得 合法 的 领域 查询 授权 


省 下 


注册 葡 


人] 在 
是 需要 花 钱 


啦 ! 那么 注册 取得 的 资料 有 两 种 ， 一 种 是 第 十 章 谈 到 的 FQDN (主机 
名 )， 一 种 束 是 申请 


领域 查询 权 。 所 谓 的 FQDN 就 是 我 们 只 需要 主机 名 ， 详 细 的 设 定数 据 
就 由 ISP 帮 有 我 们 


搞定 。 例 如 图 19.1-4 所 示 ， 那 部 www.ksu.edu.tw 的 详细 主机 名 对 应 IP 
的 数据 就 


征 请 管理 .ksu.edu.tw 那个 领域 的 服务 器 搞定 的 。 


用 图 19.1-4 来 解释 ， 我 们 的 


要 回 .edu.tw 那 部 主机 注册 申请 领域 授权 ， 因 此 ， 示 来 有 任何 
.ksu.edu.tw 的 要 求 


时 ， .edu.tw 都 会 说 : 『 我 不 知道 ! 详情 请 去 找 .ksu.edu.tw 吧 ! J 此 
上 时， 我 们 整 


得 要 架设 DNS 服务 器 来 设 定 .ksu.edu.tw 相关 的 主机 名 对 应 才 行 喔 ! 是 
否 很 像 人 类 


社会 的 『 授 权 J 的 概念 ? 
net.giang@hotmail.com 


僻 服 器 管理 的 资料 亩 记录 的 内 容 


授权 的 domain : .org 
申请 的 用 户 : www,godaddy,com(NS) 


授权 的 domain ; .vbird,org 
申请 的 用 户 : 
dns.vbird.org 了 NS1140.116…) 


也 就 古 说 ， 当 你 老板 充分 的 『 授 权 J 给 你 某 项 工作 的 时 候 ， 从 此 ， 要 
进行 该 项 工作 


的 任何 人 ， 从 老板 那 边 知道 你 才 是 真正 【有 权 J 的 人 之 后 ， 都 必须 要 
加 你 请 示 一 样 ! 


A Al 所 以 咖 ， 如 果 你 要 架设 DNS ， 而 且 是 可 以 连 上 Internet 上 面 的 
DNS 时 ， 你 就 


必须 要 透 过 了 上 层 DNS 服务 万 的 授权 4 才 行 ! 这 征 很 重要 的 观念 喔 ! 


让 我 们 归纳 一 下 ， 要 让 你 的 主机 名 对 应 IP 且 让 其 他 计算 机 都 可 以 查询 
的 到 ， 你 有 


两 种 方式 : 
1. 上 层 DNS 授权 领域 查询 权 ， 让 你 目 己 设 定 DNS 服务 器 ， 或 者 是 ; 


2. 直接 请 上 层 DNS 服务 需 来 帮 你 设 定 主机 名 对 应 ! 
0 
拥有 领域 得 询 权 后 ， 所 有 的 主机 名 信息 都 以 目 己 为 准 ， 与 上 层 无 天 


很 多 朋友 可 能 都 有 过 申请 DNS 领域 得 询 授权 的 经 星 ， 在 申请 时 ，ISP 
忠 会 要 你 填 


写 (1) 你 的 DNS 服务 器 名 称 以 及 (2) 该 服务 器 的 IP。 既 然 已 经 在 ISP 就 
填写 了 主机 


名 与 卫 的 对 应 ， 所 以 ， 即 使 我 的 DNS 服务 器 挂 点 了 ， 在 ISP 上 面 的 主 
机 名 应 该 还 是 


查 到 的 IP 吧 ? 答案 是 : 『 错 ! J 碍 不 到 的 ! 为 什么 呢 ? 


DNS 系统 记录 的 信息 非常 的 多 ， 不 过 重点 其 实 有 两 个 ， 一 个 是 记录 上 服 
务 占 所 在 的 NS 


(NameServer) 标志， 为 一 个 则 是 记录 主机 名 对 应 的 A (Address) 标志 。 
我 们 在 网 络 上 


面 查询 到 的 最 终结 果 ， 都 是 查询 IP (IP Address) 的 ， 因 此 最 终 的 标志 
找 的 是 A 这 


个 记录 才 对 ! 我 们 以 鸟 哥 注册 的 .vbird.org 来 说 明 好 了 ， 鸟 哥 去 注册 
时 ， 记录 在 ISP 


的 DNS 服务 器 名 称 为 dns.vbird.org， 该 笔记 录 其 实 就 是 NS ， 并 非 A 
， 如 下 图 所 示 : 


图 19.1-5、 记 录 的 授权 主机 名 与 实际 A 记录 的 差异 


net.giang@hotmail.com 


0 


上 图 中 ， 虽 然 在 godaddy 服务 器 内 有 记 孙 一 笔 『 要 碍 询 .vbird.org 时 ， 
请 到 


dns.vbird.org (NS) 去 查 ， 这 个 管理 者 的 IP 是 140.116...4 ， 但 是 这 笔记 
录 只 是 告 


诉 我 们 要 去 下 一 个 服务 右 找 ， 并 不 是 最 终 的 A (IP Address) 的 答案 ， 所 


往 下 找 (随时 记得 图 19.1-4 的 查询 流程 )。 此 时 ， 有 几 种 结果 会 导致 
dns.vbird.org 的 IP 找 不 到 ， 或 者 是 最 终 的 IP 与 godaddy 记录 的 不 同 的 
结果 喔 ! 那 就 是 : 

0 dns.vbird.org 服务 器 挂 点 时 : ”如果 dns.vbird.org 这 部 主机 挂 点 ， 那 么 
在 上 图 显示 【查询 4 箭头 的 步骤 会 被 中 断 ， 因 此 歼 会 出 现 『 联 机 不 到 


dns.vbird.org 的 IPJ 的 结果 。 因 为 无 论 如 何 ，DNS 系统 都 会 去 找到 最 
局 一 个 


人 台 有 A 地 址 的 记录 啊 ! 
0 dns.vbird.org 服务 句 内 的 数据 库 起 记 人 种 上 数据 时 : 如 采 乌 哥 在 目 己 的 
服 


务 器 数据 库 中 ， 起 记 加 上 dns.vbird.org 的 记录 时 ， 最 终 的 结果 还 是 会 显 
示 『 找 


不 到 该 服务 恬 的 IPJ 
0 dns.vbird.org 服务 器 内 的 数据 库 数据 编写 不 一 致 时 : ”如 果 是 在 乌 哥 上 自 
已 


服务 句 的 数据 库 内 的 dns.vbird.org 所 记录 的 IP 与 godaddy 的 不 同 ， 最 
终 的 


~ 
~ 


结果 会 以 乌 哥 记录 的 为 准 。 


总 之 ， 你 在 ISP 上 面 填写 的 主机 名 只 是 一 个 参考 用 的 ， 还 是 要 在 
你 自己 DNS 


服务 独 当 中 设 定 好 才 行 ! 虽然 可 以 自己 恶搞 一 下 ， 不 过 ， 通 常 大 家 还 
是 会 让 ISP 上 面 


的 DNS 服务 右 主 机 名 与 目 己 的 数据 库 主 机 名 一 人 怪 ， 亦 即 上 图 中 ， 中 间 
与 最 下 面 方 框 内 


的 dns.vbird.org 的 NS 及 A 都 对 应 到 同一 个 IP 就 是 了 。 
19.1.4 主机 名 交 由 ISP 代 管 还 是 目 己 设 定 DNS 服务 器 


前 面 19.1.3 小 节 以 及 第 十 章 都 谈 过 ， 申 请 主机 名 或 域名 主要 有 两 种 方 
式 ， 就 是 刚 


刚 上 头 提 到 的 DNS 授权 ， 或 者 是 直接 交 给 ISP 来 管理 。 交 给 ISP 管理 
的 ， 就 可 以 称 

作 是 域名 代 管 啦 ! 当然 啦 ， 如 果 你 是 学 校 单位 的 话 ， 或 者 是 企业 内 部 
的 小 单位 ， 那 么 


束 得 请 你 同上 层 DNS 主机 的 负责 人 要 求 路 ! 无 论 如 何 ， 你 只 能 有 两 个 
选择 束 是 了 ， 要 


不 就 是 请 他 帮忙 你 设 定好 hostname 对 应 IP ， 要 啊 就 是 请 他 直接 将 某 个 


domain name 
段 授 权 给 你 做 为 DNS 的 主要 管理 网 域 。 
那么 我 息 么 知道 那个 方式 对 我 比较 好 呢 ? 请 注意 ， 由 于 DNS 架设 之 


后 > 会 多 


个 监听 的 port ， 所 以 理论 上 ， 是 比较 不 安全 的 ! 而 且 ， 由 于 因特网 现 
在 都 是 透 过 主机 


名 在 联机 ， 在 了 解 上 面谈 到 的 主机 名 碍 询 流 程 后 ， 你 会 发 现 ，DNS 设 
定 错误 是 很 要 命 


的 ! 因为 你 的 主机 名 再 也 找 不 到 了 “。 所 以 ， 这 里 的 建议 是 : 

0 需要 架设 DNS 的 时 机 : 

net.giang@hotmail.com 

oO 

你 所 人 责 需 要 连 上 Internet 的 主机 数量 庞大 ;例如 你 一 个 人 负责 整个 


公司 


十 几 部 的 网 络 Server， 而 这 些 Server 都 是 挂 载 你 的 公司 网 域 之 下 的 。 
这 个 时 


候 想 要 不 架设 DNS 也 粉 难 啦 ! 


ee 修改 你 Server 的 名 字 ， 或 者 是 你 的 Server 有 随时 增 
只 


0 不 需要 架设 DNS 的 时 机 .: 

0 网 络 主机 数量 很 少 : 例如 家 里 或 公司 只 有 需要 一 部 mail server 时 ; 
DD 你 可 以 直接 请 上 层 DNS 主机 管理 员 帮 你 设 定好 Hostname 的 对 应 
时 ; 


0 你 对 于 DNS 的 认 知 不 足 时 ， 如 果 架 设 反 而 容易 造成 网 络 不 通 的 情 
Us 


0 架设 DNS 的 费用 很 高 时 | 
19.1.5 DNS 数据 库 的 记录 : 正解 , 反 解 , Zone 的 意义 


从 前 面 的 图 19.1-4 的 查询 流程 中 ， 我 们 知道 最 重要 的 就 十 .ksu.edu.tw 
那 部 


DNS 服务 器 内 的 记录 信息 了 。 这 些 记录 的 吃 吃 我 们 可 以 称呼 为 数据 
库 ， 而 在 数据 库 里 面 


针对 每 个 要 解析 的 领域 (domain)， 就 称 为 一 个 区 域 (zone)。 那 么 到 /的 有 
哪些 要 解析 的 


领域 呢 ? 基 本 上 ， 有 从 主机 名 查 到 IP 的 流程 ， 也 可 以 从 IP 反 查 到 主机 
名 的 方式 


为 最 早 前 DNS 的 任务 束 是 要 将 主机 名 解析 为 IP， 因 此 : 

从 主机 名 查询 到 IP 的 流程 称 为 : 正解 

D0 从 耳 反 解析 到 主机 名 的 流程 称 为 : 反 解 

0 不 管 是 正解 还 是 反 解 ， 每 个 领域 的 记录 器 古 一 个 区 域 (zone) 


举例 来 说 ， 昆 山 科 大 DNS 服务 占 管 理 的 就 是 *.ksu.edu.tw 这 个 领域 的 
查询 权 ， 


人 *.ksu.edu.tw 主机 名 的 IP 都 得 癌 昆山 科大 的 DNS 服务 硕 
查询 ， 此 


时 .ksu.edu.tw 束 是 一 个 正解 的 领域 ] 。 而 昆山 科大 有 申请 到 几 个 
class C 的 子 域 ， 


例如 120.114.140.0/24， 如 果 这 254 个 可 用 IP 都 要 设 定 主机 名 ， 那 么 这 
个 
| 


120.114.140.0/24 就 是 一 个 『 反 解 的 领域 ]! 另外 ， 每 一 部 DNS 服务 
器 都 可 以 管理 


多 个 领域 ， 不 管 是 正解 还 是 反 解 。 
0D 
正解 的 设 定 权 以 及 DNS 正解 zone 记录 的 标志 


那 谁 可 以 申请 正解 的 DNS 服务 器 架设 权 呢 ? 答案 是 : 都 可 以 ! 只 要 该 
领域 没有 人 


使 用 ， 那 你 先 抢 到 了 ， 束 能 够 使 用 了 。 不 过 ， 因 为 国际 INTERNIC 已 
经 定义 出 gTLD 以 


及 ccTLD 了， 所 以 你 不 能 目 定 义 例如 centos.vbird 这 种 网 域 的 ! 还 是 得 
要 付 售 起 层 


DNS 所 给 予 的 领域 犯 围 才 行 。 举 例 来 说 ， 人 台湾 个 人 网 站 束 音 使 用 
*.idv.tw 这 样 的 领域 


名 o 
net.qiang@Ohotmail.com 


本 zone 里 面 主要 记录 了 什么 东西 呢 ? 因为 正解 的 重点 在 由 
放 名 得 


询 到 IP， 而 且 每 部 DNS 服务 器 还 是 得 要 定义 清楚 ， 同 时 ， 你 可 能 还 需 
要 架设 


master/slave 架构 的 DNS 环境 ， 因 此 ,正解 zone 通常 具有 压 下 几 种 标 
Nn 


/JUAN ， 


0 SOA: 就 是 开始 验证 (Start of Authority) 的 缩写 ， 相 关 资 料 本 章 后 续 


小 


DNS: 就 是 名 称 服务 器 (NameServer) 的 缩写 ， 后 面 记 录 的 数据 是 DNS 


A: 束 古 地 址 (Address) 的 缩写 ， 后面 记录 的 是 IP 的 对 应 (最 重要 ); 


反 解 的 设 定 权 以 及 DNS 反 解 zone 记录 的 标志 


正解 的 领域 名 只 要 符合 INTERNIC 及 你 的 ISP 规范 即 可 ， 取 得 授权 较 
为 商 单 ( 目 


己 取 名 字 )。 那 反 解 呢 ? 反 解 主要 是 由 IP 找到 主机 名 ， 因 此 重点 是 卫 
的 所 有 人 是 谁 


啦 ! 因为 IP 都 是 INTERNIC 发 放 给 各 家 ISP 的 ， 而 且 我 们 也 知道 ，IP 
可 不 能 乱 设 定 


(路 由 问题 )! 所 以 嘿 ， 能 够 设 定 反 解 的 就 只 有 IP 的 拥有 人 ， 亦 即 你 的 
ISP 才 有 权力 


设 定 反 解 的 。 那 你 向 ISP 取得 的 IP 能 不 能 自己 设 定 反 解 呢 ? 答案 是 不 
行 ! 除非 你 取 


得 的 是 整个 class C 以 上 等 级 的 IP 网 段 ， 那 你 的 ISP 才 有 可 能 给 你 IP 
反 解 授权 。 


否则 ， 若 有 反 解 的 需求 ， 就 得 要 问 你 的 直属 上 层 ISP 申请 才 行 ! 


那么 反 解 的 zone 主要 记录 的 信息 有 哪些 呢 ? 除了 服务 絮 必 备 的 NS 以 
及 SOA 之 


外 ， 最 重要 的 束 旦 : 


瓯 是 指 同 (PoinTeR) 的 缩写 ， 后 面 记 录 的 数据 怠 是 反 解 到 主机 
之 史 ! 


0D 
每 部 DNS 都 需要 的 正解 zone: hint 


现在 你 知道 一 个 正解 或 一 个 反 解 束 可 以 称 为 一 个 zone 了 ! 那么 有 没有 


那个 zone 


是 特别 重要 的 呢 ? 有 的 ， 那 就 是 . 啊 ! 从 图 19.1-4 里 面 我 们 就 知道 ， 
当 DNS 服务 


器 在 目 己 的 数据 库 找 不 到 所 需 的 信息 时 ， 一 定 会 去 找 .， 那 .在 哪里 
啊 ? 所 以 就 得 


要 有 记录 . 在 哪里 的 记录 zone 才 行 啊 ! 这 个 记录 . 的 zone 的 类 型 ， 就 
被 我 们 称 大 


hint 类 型 ! 这 几乎 是 每 个 DNS 服务 器 都 得 要 知道 的 zone 喔 ! 


所 以 说 ， 一 部 简单 的 正解 DNS 服务 器 ， 基 本 上 整 要 有 了 两 个 zone 才 


行 ， 一 个 是 


hint ， 一 个 是 关于 目 己 领域 的 正解 zone。 举 乌 哥 注册 的 vbird.org 为 
例 ， 在 乌 哥 的 


DNS 服务 器 内 ， 至 少 就 要 有 这 两 个 zone: 
DO hint (root): 记录 .的 zone; 


0 vbird.org: 记录 .vbird.org 这 个 正解 的 zone。 
net.giang@hotmail.com 
必 


你 会 发 现 我 没有 vbird.org 这 个 domain 所 属 IP 的 反 解 zone ， 为 什么 
呢 ? 请 


参考 上 面 的 详细 说 明 吧 ! 简单 的 说 ， 就 是 因为 反 解 需要 要 求 P 协议 的 
上 层 来 设 定 才 


a 


正 反 解 是 人 否 一 定 要 成 对 ? 


好 了 ， 正 反 解 需 不 需要 成 套 产生 ， 在 这 里 不 用 多 说 明了 吧 ? 和 人 人! 请 注 
意 喔 ， 在 很 


多 的 情况 下 ， 尤 其 是 目前 好 多 莫名 其 妙 的 领域 名 产生 出 来 ， 所 以 ， 利 
党 会 只 有 正解 的 


设 定 需求 而 已 。 不 过 也 不 需要 太 过 担心 啦 ， 因为 通常 在 反 碍 的 情况 
中 ， 如 果 你 是 使 用 


目前 台湾 地 区 最 流行 的 ADSL 上 网 的 话 ， 那 么 ISP 早 束 已 经 帮 你 设 定 
好 反 解 了 ! 例如 : 


211.74.253.91 这 个 seednet 的 浮动 式 IP 反 查 的 结果 会 得 到 


211-74-253-91.adsl.dynamic.seed.net.tw. 这 样 的 主机 名 ! 所 以 在 一 般 我 们 
目 行 申 请 


领域 名 的 时 候 ， 你 只 要 担心 正解 的 设 定 即 可 ! 不 然 的 话 ， 反 正 反 解 的 
授权 根本 也 不 会 


开放 给 你 ， 你 目 己 设 定 得 很 高 兴 也 没有 用 呀 ! 人 人 


事实 上， 需要 正 反 解 成 对 需求 的 大 概 仅 有 mail server 才 需 要 吧 ! 由 于 
目前 网 络 


市 宽 老 是 被 垃圾 、 广 告 邮件 占 光 ， 所 以 Intemet 的 社会 对 于 合法 的 


mail server 规 


定 也 就 越 来 越 严 格 。 如 果 你 想 要 架设 mail server 时 ， 最 好 具有 固定 IP 
， 这 样 才 能 


癌 你 的 ISP 要 求 设 定 反 解 咀 ! 以 hinet 为 例 的 反 解 申请 : 


D http:/hidomain.hinet.net/top1.html 


19.1.6 DNS 数据 库 的 类 型 : hint, master/slave 架构 


你 知道 的 ，DNS 越 来 越 重要 ， 所 以 ， 如 打 你 有 注册 过 领域 名 的 话 ， 融 
可 以 发 现 ， 现 


在 ISP 都 要 你 填写 两 部 DNS 服务 器 的 IP 哩 ! 因为 要 作为 备 援 之 用 嘛 ! 


总 不 能 一 部 
DNS 挂 吕 后， 害 你 的 所 有 主机 名 都 不 能 被 找到 一 那 真 麻烦 一 
但 是 ， 如 果 有 两 部 以 上 的 DNS 服务 器 ， 那 么 网 络 上 会 搜寻 到 哪 一 部 


呢 ? 管 案 十 ， 


不 知道 ! 因为 是 随机 的 ~~ 所 以 ， 如 果 你 的 领域 有 两 部 DNS 服务 器 的 
话 ， 那 这 两 部 DNS 


服务 夯 的 内 容 束 得 完全 一 模 一 样 ， 否 则 ， 由 于 是 随 机 找到 DNS 来 询 
问 ， 因 此 寿 数 据 不 


步 ， 很 可 能 造成 其 他 用 户 无 法 取得 正确 数据 的 问题 。 


为 了 解决 这 个 问题 ， 因 此 在 . (root) 这 个 hint 类 型 的 数据 库 档案 外 ， 还 
有 两 种 


基本 类 型 ， 分 别 是 Master (主人 、 主 要 ) 数据 库 与 Slave (奴隶 、 次 要 ) 数 
据 库 类 型 。 


这 个 Master/Slave 就 是 要 用 来 解决 不 同 DNS 服务 右上 面 的 数据 同步 问 
题 的 。 所 以 底 


下 让 我 们 来 聊 聊 Master/Slave 吧 ! 
D 
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el 


Master: 


这 种 类 型 的 DNS 数据 库 中 ， 里 面 所 有 的 主机 名 相关 信息 等 ， 通 通 要 管 
理 员 目 己 手 


动 去 修改 与 设 定 ， 设 定 完毕 还 得 要 重新 启动 DNS 服务 去 读 取 正 确 的 数 
据 库 内 容 ， 才 算 


完成 数据 库 更 新 。 一 般 来 说 ， 我 们 说 的 DNS 架设 ， 就 是 指 设 定 这 种 数 
据 库 的 类 型 。 同 


上 时， 这 种 关 型 的 数据 库 ， 还 能 够 提供 数据 库 和 内容 给 slave 的 DNS 服务 
器 喔 | 


0 


Slave: 


J 通常 你 不 会 只 有 一 部 DNS 服务 器 ， 例 如 我 们 前 面 的 例题 查 
询 色 


的 .ksu.edu.tw 就 有 3 部 DNS 服务 器 来 管理 自己 的 领域 。 那 如 果 每 部 
DNS 我 们 都 是 


使 用 Master 数据 库 类 型 ， 当 有 用 户 癌 我 要 求 要 修改 或 痢 新 增 、 删 除数 
据 时 ， 一 笔 数 


据 我 束 得 要 做 三 次 ， 还 可 能 会 不 小 心 手背 导致 某 几 部 出 现 错误 ， 此 时 
可 束 念 脑筋 了 习 因 


此 ， 这 时 使 用 Slave 类 型 的 数据 库 取 得 方式 束 很 有 用 


Slave 必须 要 与 Master 相互 搭配 ， 若 以 .ksu.edu.tw 的 例子 来 说 ， 如 果 我 
必须 


要 有 三 部 主机 提供 DNS 服务 ， 且 三 部 内 容 相 同 ， 那么 我 只 要 指定 一 部 
服务 器 为 


Master ， 其 他 两 部 为 该 Master 的 Slave 服务 器 ， 那 么 当 要 修改 一 笔名 
称 对 应 时 ， 我 


只 要 手动 更 改 Master 那 部 机 妖 的 配置 文件 ， 然 后 ， 重 新 启动 BIND 这 
个 服务 后 ， 呵 呵 | 


其 他 两 部 Slave 就 会 目 动 的 被 通知 更 新 了 ! 这 样 一 来 ， 在 维护 上 面 可 就 


轻松 写意 的 多 


~ 


Tips: 

如 果 你 设 定 Master/Slave 染 构 时 ， 你 的 Master 主机 必须 要 限制 
只 有 某 些 特 定 IP 的 主机 能 够 取得 你 Master 主机 的 正 反 解数 据 库 
权限 才 好 ! 所 以 ， 上 面 才 会 提 到 Master/Slave 必须 要 互相 搭配 才 


a 


Master / Slave 的 查询 优先 权 ? 

另外 ， 既 然 我 的 所 有 DNS 服务 器 是 需要 同时 提供 internet 上 面 的 领域 
名 解析 的 

服务 ， 所 以 不 论 是 Master 还 是 Slave 服务 器 ， 他 都 必须 要 可 以 同时 提 
供 DNS 的 服 


务 才 好 ! 因为 在 DNS 系统 当中 ， 领 域名 的 查询 是 『 先 抢先 说 4 的 状 
仿 ， 我 们 不 会 晓得 


哪 一 部 主机 的 数据 会 先 被 查询 到 的 ! 为 了 提供 良好 的 DNS 服务 ， 每 部 
DNS 主机 都 要 


能 正常 工作 才 好 啊 ! 而 且 ， 每 一 部 DNS 服务 器 的 数据 库 内 容 需 要 完全 
一 致 ， 否 则 惑 会 


造成 客户 端 找到 的 IP 是 错误 的 ! 
0 
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人 
Master / Slave 数据 的 同步 化 过 程 


那么 Master/Slave 的 数据 更 新 到 底 是 如 何 动作 的 呢 ? 请 注意 ，Slave 是 
需要 更 新 


来 自 Master 的 数据 啊 ! 所 以 当然 Slave 在 设 定之 初 就 需要 存在 Master 
才 行 喔 ! 基 


本 上 ， 不 论 Master 还 是 Slave 的 数据 库 ， 都 会 有 一 个 代表 该 数据 库 新 
旧 的 『 序 号 1， 


这 个 序号 数值 的 大 小 ， 是 会 影响 是 否 要 更 新 的 动作 嘲 ! 至 于 更 新 的 方 
式 主要 有 两 种 : 


0 Master 主动 告知 : 例如 在 Master 在 修改 了 数据 库 内 容 ， 并 且 加 大 数 
据 库 


序号 后 ， 重新 启动 DNS 服务 ， 那 master 会 主动 告知 slave 来 更 新 数据 
库 ， 


此 时 就 能 够 达成 数据 同步 ; 
由 Slave 主动 提出 要 求 : 基本 上 ， Slave 会 定时 的 向 Master 察看 数据 
库 


的 序号 ， 当 发 现 Master 数据 库 的 序号 比 Slave 自己 的 序号 还 要 大 (代表 
比较 


新 )， 那 么 Slave 就 会 开始 更 新 。 如 果 序 号 不 变 ， 那 么 就 判断 数据 库 没 
有 更 动 ， 


因此 不 会 进行 同步 更 新 。 
由 上 面 的 说 明 来 看 ， 其 实 设计 数据 库 的 序号 最 重要 的 目的 就 是 让 


master/slave 数 


据 的 同步 化 。 那 我 们 也 知道 slave 会 同 master 提出 数据 库 更 新 的 需求 ， 


问题 是 ， 多 


入 提出 一 次 更 新 ， 如 果 该 次 更 新 时 由 于 网 络 问题 ， 所 以 没有 得 询 到 
master 的 序号 ( 亦 


即 更 新 失败 )， 那 隔 多 久 会 重新 更 新 一 次 ? 这 个 与 SOA 的 标志 有 关 ， 后 
续 谈 到 正 、 反 解 


数据 库 后 ， 再 来 详细 说 明 吧 ! 


如 果 你 想 要 架设 Master/Slave 的 DNS 架构 时 ， 两 部 主机 (Master/Slave) 
都 需 


要 你 能 够 掌控 才 行 ! 网 络 上 很 多 的 文件 在 这 个 地 方 都 有 点 开办 失 J ， 


请 特别 的 留意 啊 ! 


因为 乌 哥 的 DNS 服务 器 稼 常会 听 到 有 某 些 其 他 DNS 的 数据 库 同步 化 需 
求 ， 真 觉得 烦 呐 ! 


19.2 Client 端的 设 定 


由 于 DNS 十 每 部 想 要 连 上 因特网 的 主机 都 得 要 设 定 的 ， 因 此 我 们 就 从 
简单 的 客户 

端 设 定 谈 起 。 因 为 未 来 架设 好 DNS server 后 ， 我 们 都 会 直接 进行 测 
试 ， 所 以 ， 这 个 间 


分 得 先 处 理 处理 比 较 妥 当 啊 ! 

19.2.1 相关 配置 文件 

从 19.1.1 的 说 明 当 中 我 们 晓得 主机 名 对 应 到 IP 有 两 种 方法 ， 早 期 的 方 
写 在 档案 里 面 来 对 应 ， 后 来 比较 新 的 方法 则 是 透 过 DNS 架构 ! 那么 这 
两 种 方法 分 别 使 


用 什么 配置 文件 ? 可 不 可 以 同时 存在 ? 大 同时 存在 时 ， 那 个 方法 优 
先 ? 嗯 ! 我 们 先 来 


谈 一 谈 几 个 配置 文件 吧 ! 
D /etc/hosts : 这 个 是 最 早 的 hostname 对 应 IP 的 档案 ; 
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中 /etc/resolv.conf : 这 个 重要 ! 就 是 ISP 的 DNS 服务 器 IP 记录 处 ; 
D /etc/nsswitch.conf: 这 个 档案 则 是 在 『 决 定 」 先 要 使 用 /etc/hosts 还 是 
/etc/resolv.conf 的 设 定 ! 


一 般 而 言 ， Linux 的 预 设 主机 名 与 IP 的 对 应 搜寻 都 以 /etc/hosts 为 优 


什么 昵 ? 你 可 以 查看 一 下 /etc/nsswitch.conf ， 并 找到 hosts 的 项 目 : 
[root@www ~]# vim /etc/nsswitch.conf 


hosts: files dns 


上 面 那个 名 es 就 是 使 用 /etwhosts， 而 最 后 的 dns 则 是 使 用 


/etc/resolv.conf 


的 DNS 服务 器 来 进行 搜寻 啦 ! 因此 ， 你 可 以 先 以 /etc/hosts 来 设 定 卫 
对 应 ! 当然 


啦 ， 你 也 可 以 将 他 调换 过 来 ， 不 过 ， 总 是 /etc/hosts 比较 人 简单， 所 以 将 
他 摆 在 前 面 比 


较 好 啦 ! 
好 啦 ， 既 然 我 们 是 要 进行 DNS 测试 的 ， 那 么 就 得 要 了 解 一 下 


/etc/resolv.conf 的 


内 容 ， 假 设 你 在 台湾 ， 使 用 的 是 hinet 的 168.95.1.1 这 部 DNS 服务 器 ， 
所 以 你 应 该 


这 样 写 : 

[root@www ~]# vim /etc/resolv.conf 
nameserver 168.95.1.1 

nameserver 139.175.10.20 


DNS 服务 器 的 IP 可 以 设 定 多 个 ， 为 什么 要 设 定 多 个 呢 ? 因为 当 第 一 部 
( 照 设 定 的 顺序 ) 


DNS 挂 点 时 ， 我 们 客户 端 可 以 使 用 第 二 部 (上 述 是 139.175.10.20) 来 进 
行 查询 ， 这 多 


少 有 点 像 DNS 备 援 功能 。 通 常 建议 至 少 填写 两 部 DNS 服务 器 的 IP， 
不 过 在 网 络 正 香 


使 用 的 情况 下 ， 永 远 只 有 第 一 部 DNS 服务 器 会 被 使 用 来 查询 ， 其 他 的 
设 定 值 只 是 在 第 


一 部 出 问题 时 才 会 被 使 用 。 


Tips: 

尽量 不 要 设 定 超过 3 部 以 上 的 DNS IP 在 /etc/resolv.conf 中 ， 

因为 如 果 是 你 的 区 网 出 问题 ， 导 致 无 法 联机 到 DNS 服务 器 ， 那 么 你 
的 主机 还 是 会 向 每 部 DNS 服务 器 发 出 联机 要 求 ， 每 次 联机 都 有 
timeout 时 间 的 等 待 ， 会 导致 浪费 非常 多 的 时 间 嘿 | 

例题 : 

我 的 主机 使 用 DHCP 取得 IP ， 很 奇怪 的 ， 当 我 修改 过 /etc/resolv.conf 


oo 隅 不 多 入 这 个 档案 又 会 恢复 成 原本 的 样子 ， 这 是 什么 原因 ? 该 
如 何 处 


DHCP 时 ， 系 统 会 主动 的 使 用 DHCP 服务 器 传 来 的 数据 进行 


配置 文件 的 修订 。 因 此 ， 你 必须 告知 系统 ， 不 要 使 用 DHCP 传 来 的 服 
务 器 设 定 
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必 

值 。 此 时 ， 你 得 要 在 /etc/sysconfig/network-scripts/ifcfg-eth0 等 相关 
档案 内 ， 增 加 一 行 ，『PEERDNS=no4， 然 后 重新 启动 网 络 即 可 。 

此 外 ， 如 果 你 有 启动 CentOS 6.x 的 NetworkManager 服务 ， 有 时候 也 可 


有 此 全 


产生 一 些 奇特 的 现象 哩 ! 所 以 乌 哥 是 建议 关 掉 它 的 ! 人 和 


19.2.2 DNS 的 正 、 反 解 得 询 指 令 : host, nslookup, dig 


测试 DNS 的 程序 有 很 多 ， 我 们 先 来 使 用 最 简单 的 host 吧 ! 然后 还 有 
nslookup 及 


dig 哩 | 
host 

[root@www ~]# host [-a] FQDN [server] 

[root@www ~}]# host -1 domain [server] 

选项 与 参数 : 

-a: 代表 列 出 该 主机 所 有 的 相关 信息 ， 包 括 PP、TTL 与 除 错 讯 县 等 等 
-1: 若 后 面 接 的 那个 domain 设 定 允许 allow-transfer 时 ， 则 列 出 该 
domain 

所 管理 的 所 有 主机 名 对 应 数据 ! 

server: 这 个 参数 可 有 可 无 ， 当 想 要 利用 非 /etc/resolv.conf 内 的 DNS 主 
机 

来 查询 主机 名 与 IP 的 对 应 时 ， 就 可 以 利用 这 个 参数 了 ! 

#1. 使 用 默认 值 来 查 出 linux.vbird.org 的 IP 


[root@www ~]# host linux.vbird.org 


linux.vbird.org has address 140.116.44.180 <== 这 是 IP 


YY 


linux.vbird.org mail is handled by 10 linux.vbird.org. <== 这 是 MX (后 


# 2. 查 出 linux.vbird.org 的 所 有 重要 参数 

[root@www ~ 1# host -a linux.vbird.org 

Trying "linux.vbird.org" 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56213 


;; flags: dr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2， 
ADDITIONAL: 0 


;; QUESTION SECTION: 

net.giang@hotmail.com 

;linux.vbird.org. IN ANY 

;; ANSWER SECTION: 

linux.vbird.org. 145 IN A 140.116.44.180 

;; AUTHORITY SECTION: 

vbird.org. 145 IN NS dns.vbird.org. 

vbird.org. 145 IN NS dns2.vbird.org. 

Received 86 bytes from 168.95.1.1#53 in 15 ms <== 朱 然 是 从 168.95.1.1 
取得 的 资料 


# 人 不 惑 是 dig 的 输出 结果 ? 所 以 ， 我 们 才 会 说 ， 使 用 dig 才 起 
王道 ! 


# 3. 强制 以 139.175.10.20 这 部 DNS 主机 来 查询 


[root@www ~]#host ljinux.vbird.org 139.175.10.20 


Using domain server: 

Name: 139.175.10.20 

Address: 139.175.10.20#53 

Aliases: 

linux.vbird.org has address 140.116.44.180 


linux.vbird.org mail is handled by 10 linux.vbird.org. 


看 到 最 后 一 个 范例 ， 有 注意 到 上 面 输出 的 特殊 字体 部 分 吗 ? 很 多 朋友 
在 测试 自己 的 DNS 


时 ， 常 常会 上 指定 到 错误 的 DNS 查询 主机 4 了 一 因为 他 们 的 


/etc/reslov.conf 忘记 
改 ， 所 以 老 是 找 不 到 目 己 设 定 的 数据 库 IP 数据 。 所 以 你 要 仔细 看 啊 | 
#4. 找 出 vbird.org 领域 的 所 有 主机 对 应 


[root@www ~]# host -] vbird.org 

; Transfer failed. 

Host vbird.org not found: 9(NOTAUTH) 

; Transfer failed. <== 竟 然 失 败 了 ! 请 看 底下 的 说 明 ! 


怎么 会 无 法 响应 呢 ? 这 样 的 响应 是 因为 管理 vbird.org 领域 的 DNS 并 不 
许 我 们 的 领 

域 查询 ， 毕 竞 我 们 不 是 vbird.org 的 系统 管理 员 ， 当 然 没 有 权限 可 以 读 
取 整 个 


vbird.org 的 领域 设 定 嚼 ! 这 个 『 host -14 是 用 在 自己 的 DNS 服务 器 
上 ， 本 章 稍 后 


谈 到 服务 器 设 定 后 ， 使 用 这 个 选项 就 能 够 读 取 相关 的 数据 了 。 
0 

nslookup 

net.giang@hotmail.com 

[root@www ~]# nslookup [FQDN] [server] 

[root@www ~]# nslookup 

选项 与 参数 : 

1. 可 以 直接 在 nslookup 加 上 待 查询 的 主机 名 或 者 是 IP ， 
[server] 可 有 可 

BE 

2. 如 果 在 nslookup 后 面 没 有 加 上 任何 主机 名 或 TP ， 那 将 进入 nslookup 
的 查询 功能 


在 nslookup 的 查询 功能 当中 ， 可 以 输入 其 他 参数 来 进行 特殊 查询 ， 例 
如 : 


set type=any : 列 出 所 有 的 信息 『 正 解 方 面 配 置 文 件 J 
set type=mx : 列 出 与 mx 相关 的 信息 

#1. 直接 搜寻 mail.ksu.edu.tw 的 IP 信息 

[root@www ~]#nslookup mail.ksu.edu.tw 

Server: 168.95.1.1 


Address: 168.95.1.1#53 <== 还 是 请 特别 注意 DNS 的 IP 是 否 


确 ! 

Non-authoritative answer: 

Name: mail.ksu.edu.tw 

Address: 120.114.100.20 <== 回 报 卫 给 你 鹃 ! 


nslookup 可 单纯 的 将 hostname 与 IP 对 应 列 出 而 已 ， 不 过 ， 还 是 会 将 
询 的 DNS 主 


机 的 IP 列 出 来 的 ! 如 条 想 要 知道 更 多 详细 的 参数 ， 那 可 以 直接 进 


nslookup 这 个 
软件 的 操作 画面 中 ， 如 下 范例 : 


[root@www ~]# nslookup <== 进 入 nslookup 查询 画面 


哎 


> 120.114.100.20 <== 执 行 反 解 的 查询 

> www.ksu.edu.tw <== 执 行 正 解 的 查询 

# 上 面 这 两 个 仅 列 出 正 反 解 的 信息 ， 没 有 办 了 不 起 的 地 方 啦 ! 
> set type=any <== 变 更 碍 询 ， 不 是 仅 有 A， 全 部 信息 都 列 出 来 
> www.ksu.edu.tw 

Server: 168.95.1.1 

Address: 168.95.1.1#53 

Non-authoritative answer: 

Name: www.ksu.edu.tw 

Address: 120.114.100.101 <== 这 是 答案 


Authoritative answers can be found from: <== 这 是 相关 授权 DNS 说 明 


ksu.edu.tw nameserver = dns2.ksu.edu.tw. 
ksu.edu.tw nameserver = dns1.ksu.edu.tw. 
dns1l.ksu.edu.tw internet address = 120.114.50.1 
dns2.ksu.edu.tw internet address = 120.114.150.1 
net.qiang@Ohotmail.com 

> exit <== 离 开 吧 ! 皮卡 丘 


在 上 面 的 案例 当中 ， 请 注意 ， 如 有 果 你 在 nslookup 的 查询 画面 当中 ， 输 
入 set type=any 


或 其 他 参数 ， 那么 束 无 法 再 进行 反 解 的 查询 了 ! 这 是 因为 any 或 者 是 


mx 等 等 的 标志 

都 是 记录 在 正解 zone 当中 的 缘故 ! 

dig (未 来 的 主流 ， 请 爱 用 他 ! ) 

[root@www ~]# dig [options] FQDN [@server] 

选项 与 参数 : 

@server : 如 果 不 以 /etc/resolv.conf 的 设 定 来 作为 DNS 查询 ， 可 在 此 填 
入 其 他 的 人 P 

options: 相关 的 参数 很 多 ， 主 要 有 +trace, -ttype 以 及 -x 三 者 最 常用 
+trace : 就 是 从 . 开始 追踪 ， 在 19.1.2 里 面谈 过 了 ! 回头 瞧 瞧 去 ! 
-ttype: 查询 的 数据 主要 有 mx, ns, soa 等 类 型 ， 相 关 类 型 19.4 来 介绍 
-x : 查询 反 解 信息 ， 非 常 重 要 的 项 目 ! 


#1. 使 用 默认 值 查询 linux.vbird.org 吧 ! 

[root@www ~]# dig linux.vbird.org 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> linux.vbird.org 
;; global options: +cmd 

;; GOt answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37415 


;; flags: dr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2， 
ADDITIONAL: 0 


;; QUESTION SECTION: <== 提 出 的 问题 的 部 分 
;linux.vbird.org. IN A 

;; ANSWER SECTION: <== 主 要 的 回答 阶段 
linux.vbird.org. 600 IN A 140.116.44.180 

;; AUTHORITY SECTION: <== 其 他 与 此 次 回答 有 关 的 部 分 
vbird.org. 600 IN NS dns.vbird.org. 

vbird.org. 600 IN NS dns2.vbird.org. 

;; Query time: 9 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 

;; WHEN: Thu Aug 4 14:12:26 2011 

;; MSG SIZE rcvd: 86 


net.giang@hotmail.com 


在 这 个 范例 当中 ， 我 们 可 以 看 到 整个 显示 出 的 讯 奶 包括 有 几 个 部 分 : 


0 QUESTION( 问 题 )， 显示 所 要 查询 的 内 容 ， 因 为 我 们 是 查询 
linux.vbird.org 


的 PP， 所 以 这 里 显示 A (Address); 


0 ANSWER( 回 答 ): 依据 刚刚 的 QUESTION 去 查询 所 得 到 的 结果 ， 答 
案 就 是 回答 


IP 啊 ! 


0 AUTHORITY( 验 证 )， 由 这 里 我 们 可 以 知道 linux.vbird.org 是 由 哪 部 
DNS 


服务 絮 所 提供 的 答案 ! 结果 是 dns.vbird.org 及 dns2.vbird.org 这 两 部 主 
机 


管理 的 。 男 外 ， 那 个 600 是 啥 吃 吃 ?” 图 19.1-4 提 到 过 的 流程 ， 束 是 允 


许 查询 


者 能 够 保留 这 笔记 录 多 久 的 意思 ( 快 取 )， 在 linux.vbird.org 的 设 定 中 ， 
预 设 


可 以 保留 600 秒 。 

# 2. 查询 linux.vbird.org 的 SOA 相关 信息 吧 ! 

[root@www ~]# dig -t soa linux.vbird.org 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> -t soa 
linux.vbird.org 

;; global options: +cmd 

;; GOt answer: 


;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57511 


;; flags: dr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, 
ADDITIONAL: 0 


;; QUESTION SECTION: 
;linux.vbird.org. IN SOA 

;; AUTHORITY SECTION: 

vbird.org. 600 IN SOA dns.vbird.org. 
root.dns.vbird.org. 

2007091402 28800 7200 720000 86400 
;; Query time: 17 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 
;; WHEN: Thu Aug 4 14:15:57 2011 

;; MSG SIZE rcvd: 78 


由 于 dig 的 输出 信息 实在 是 太 丰 富 了 ， 又 分 成 多 个 部 分 去 进行 回报 ， 
此 很 适合 作为 


DNS 追踪 回报 的 一 个 指令 呢 ! 你 可 以 透 过 这 个 指令 来 了 解 一 下 你 所 设 
定 的 DNS 数据 库 


征 否 正确 ， 并 进行 除 错 喔 ! 和 人 人! 此 外 ， 你 也 可 以 透 过 『 -ttype 4 的 
功能 去 查询 其 


他 服务 硕 的 设 定 值 ， 可 以 方便 你 进行 设 定 DNS 服务 器 时 的 参考 喔 ! 正 


解 得 询 完毕 ， 接 
下 来 玩 一 玩 反 解 吧 ! 


# 3. 查询 120.114.100.20 的 反 解 信息 结 


[root@www ~]# dig -x 120.114.100.20 

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> -x 120.114.100.20 
net.giang@hotmail.com 
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;; global options: +cmd 

;; GOt answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60337 


;; flags: gr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 3， 
ADDITIONAL: 3 


;; QUESTION SECTION: 

;20.100.114.120.in-addr.arpa. IN PTR 

;; ANSWER SECTION: 

20.100.114.120.in-addr.arpa. 3600 IN PTR 
mail-out-r2.ksu.edu.tw. 

20.100.114.120.in-addr.arpa. 3600 IN PTR 
mail-smtp-proxy.ksu.edu.tw. 

20.100.114.120.in-addr.arpa. 3600 IN PTR mail.ksu.edu.tw. 
;; AUTHORITY SECTION: 

100.114.120.in-addrarpa. 3600 IN NS dns1.ksu.edu.tw-. 


100.114.120.in-addrarpa. 3600 IN NS dns3.twaren.net. 


100.114.120.in-addrarpa. 3600 IN NS dns2.ksu.edu.tw. 
;; ADDITIONAL SECTION: 

dns1.ksu.edu.tw. 3036 IN A 120.114.50.1 
dns2.ksu.edu.tw. 2658 IN A 120.114.150.1 
dns3.twaren.net. 449 IN A 211.79.61.47 

;; Query time: 29 msec 

;; SERVER: 168.95.1.1#53(168.95.1.1) 

;; WHEN: Thu Aug 4 14:17:58 2011 

;; MSG SIZE rcvd: 245 


反 解 相当 有 趣 ! 从 上 面 的 输出 结果 来 看 ， 反 解 的 查询 目标 竟然 从 
120.114.100.20 变 成 


了 20.100.114.120.in-addr.arpa. 这 个 模样 一 这 是 哈 思 东西 ? 不 要 怕 ， 这 
等 我 们 讲 到 


反 解 时 再 跟 大 家 进一步 解释 。 你 现在 要 知道 的 是 ， 反 解 的 查询 领域 
名 ， 跟 正解 不 太一 


样 即 可 ， 尤 其 是 那个 怪异 的 in-addr.arpa. 结尾 的 数据 ， 可 以 先 记 下 来 。 
19.2.3 查询 领域 管理 者 相关 信息 : whois 


上 个 小 节 谈 到 的 是 主机 名 的 正 反 解 查 询 指令 ， 那 如 果 你 想 要 知道 整个 
领域 的 设 定 ， 

使 用 的 是 『 host -] 领域 名 4 去 得 ， 那 如 采 你 想 要 知道 的 征 『 这 个 领域 
征 谁 管 的 4 


的 信息 呢 ? 那 豆 得 要 使 用 whois 这 个 指令 才 行 喔 ! 在 CentOS 6.x 当 
中 ， whois 是 由 


jwhois 这 个 软件 提供 的 ， 因 此 ， 如 果 找 不 到 whois 时 ， 请 用 yum 去 安 
淡 这 个 软件 吧 ! 


net.giang@hotmail.com 
UD 
whois 


[root@www ~]# whois [domainname] <== 注 意 啊 ! 是 domain 而 不 是 
hostname 


[root@www ~1]# whois centos.org 

[Querying whois.publicinterestregistry.net] 

[whois.publicinterestregistry.net]| 

# 这 中 间 是 一 堆 whois 服务 器 提供 的 讯 忌 告 知 ! 拘 下 是 实际 注册 的 数据 
Domain ID:D103409469-LROR 

Domain Name:CENTOS.ORG 

Created On:04-Dec-2003 12:28:30 UTC 

Last Updated On:05-Dec-2010 01:23:25 UTC 

Expiration Date:04-Dec-2011 12:28:30 UTC <== 记 载 了 建立 与 与 失效 的 日 
期 

Sponsoring Registrar:Key-Systems GmbH (R51-LROR) 

Status:CLIENT TRANSFER PROHIBITED 

Registrant ID:P-8686062 


Registrant Name:CentOS Domain Administrator 


Registrant Organization:The CentOS Project 
Registrant Street1:Mechelsesteenweg 170 
# 底下 则 是 一 堆 联 络 方式 ， 乌 哥 将 它 取消 了 ， 免 得 多 占 篇 幅 一 


whois 这 个 指令 可 以 查询 到 当初 注册 这 个 domain 的 用 户 的 相关 信息 。 
不 过 ， 由 于 近年 


来 很 多 网 络 信息 安全 的 问题 ， 这 个 whois 所 提供 的 信息 真 的 是 太 详 细 
了 ， 为 了 保护 使 


用 者 的 隐私 权 ， 所 以 ， 目 前 这 个 whois 所 查询 到 的 信息 已 经 不 见得 是 
完全 正确 的 了 一 


而 且 ， 在 显示 出 whois 的 信息 之 前 ， 还 会 有 一 段 宣 告 事项 的 告知 呢 一 


和 人 _AVy 


如 果 使 用 whois 来 检查 乌 哥 所 注册 的 合法 domain 会 是 如 何 呢 ?看 看 : 


[root@www ~]# whois vbird.idv.tw 

[Querying whois.twnic.net] 

[whois.twnic.net] <== 这 个 whois 服务 絮 查 到 的 数据 
Domain Name: vbird.idv.tw <== 这 个 domain 的 信息 
Contact: <== 联 络 者 的 联络 方式 

Der-Min Tsai 

vbird@pc510.ev.ncku.edu.tw 

Record expires on 2018-09-17 (YYYY-MM-DD) 
Record created on 2002-09-13 (YYYY-MM-DD) 


net.giang@hotmail.com 


0 
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Registration Service Provider: HINET 


呵呵 ! 这 个 domain 会 在 2018/09/17 失效 的 意思 啦 ! 报告 完毕 ! 无 论 
如 何 ， 我 们 都 可 


以 透 过 nslookup, host, dig 等 等 的 指令 来 得 询 主 机 名 与 IP 的 对 应 ， 这 些 
令 的 用 
日 ~ 


法 可 以 请 你 以 man command 来 查询 更 多 的 用 法 喔 ! 
19.3 DNS 服务 器 的 软件 、 种 类 与 cache only DNS 服务 器 设 定 


谈 完 了 一 些 基 础 概念 后 ， 接 下 来 让 我 们 来 聊 一 聊 ， 那 如 何 设 定好 DNS 
服务 器 啊 ? 

这 当然 束 得 由 软件 安装 谈 起 啦 ! 在 这 个 小 让， 我 们 先 不 要 谈 DNS 记 
杂 的 正 反 解 吃 噬 ， 


只 讲 到 hint 这 个 . (root) 的 zone， 谈 一 谈 最 简单 的 仅 有 快 取 的 DNS 服 
务 屁 


(Caching only DNS server) 吧 ! 
19.3.1 架设 DNS 所 需要 的 软件 


终于 废话 都 说 完了 ! 相信 你 大 概 也 有 点 累 的 吧 ? 乌 哥 是 蛮 累 的 啦 ， 
为 手臂 、 肩 颈 

酸痛 的 毛病 颇 严 重 .….. 喷 ! 讲 这 个 干 嘛 ? @_@ 好 啦 ， 我 们 终于 要 来 安 
装 DNS 所 需要 的 


软件 了 ! 还 记得 前 面 提 过 的 ， 我 们 要 使 用 的 DNS 软件 束 古 使 用 相克 莱 
大 学 发 展 出 来 的 


BIND (Berkeley Internet Name Domain, BIND) 这 个 啦 ! 那么 怎么 知道 
你 安 闻 了 没 ? 


不 就 是 rpm 与 yum 吗 ? 目 己 查 查 看 。 

[root@www ~]# rpm -qa | grep ^bind' 
bind-libs-9.7.0-5.P2.el6_0.1.x86_64 <== 给 bind 与 相关 指令 使 用 的 画 
Es 

bind-utils-9.7.0-5.P2.el6_0.1.x86_64 <== 这 个 是 客户 端 搜寻 主机 名 的 相 
| 

bind-9.7.0-5.P2.el6_0.1.x86_64 <== 就 是 bind 主 程序 所 需 软 件 
bind-chroot-9.7.0-5.P2.el6_0.1.x86_64 <== 将 bind 主 程序 关 在 家 里 面 ! 
上 面 比较 重要 的 是 那个 Tbind-chroot 4 啦 ! 所 谓 的 chroot 代表 的 是 『 


change to 


root( 根 目录 ) 4 的 意思 ，root 代表 的 是 根 目录 。 早 期 的 bind 默认 将 程 
序 启动 在 


/Var/named 当中 ， 但 是 该 程序 可 以 在 根 目 录 下 的 其 他 目录 到 处 转移 ， 
因此 若 bind 的 


程序 有 问题 时 ， 则 该 程序 会 造成 整个 系统 的 危害 。 为 避免 这 个 问题 ， 
所 以 我 们 将 某 个 
目录 指定 为 bind 程序 的 根 目 录 ， 由 于 已 经 是 根 目 录 ， 所 以 bind 便 不 
能 离开 该 目录 ! 


所 以 奇 该 程序 被 攻击 ， 了 不 起 也 是 在 某 个 特定 目录 底下 搞 破 坏 而 已 。 
CentOS 6.x 默认 


将 bind 锁 在 /varnamed/chroot 目录 中 喔 | 


net.giang(@hotmail.com 


0 


我 们 主 程序 是 由 bind, bind-chroot 所 提供 ， 那 前 一 小 节 提 到 的 ， 每 部 
DNS 服务 


句 都 要 有 的 . (root) 这 个 zone file 在 哪里 ? 它 也 是 由 bind 所 提供 的 喔 ! 
(CentOS 


4.x, 5.X 所 提供 的 caching-nameserver 软件 并 不 存在 CentOS 6.x 当中 了 
喔 ! 已 经 


被 涵盖 于 bind 软件 内 ! ) 
19.3.2 BIND 的 默认 路 径 设 定 与 chroot 


要 架设 好 BIND 需要 什么 设 定数 据 呢 ? 基本 上 有 两 个 主要 的 数据 要 处 
理 : 


0 BIND 本 吴 的 配置 文件 : 主要 规范 主机 的 设 定 、zone file 的 所 在 、 权 
限 的 


、 帮 名 


设 定 等 ; 
D 正 反 解 数据 库 档案 (zone file)， 记 录 主 机 名 与 P 对 应 的 等 。 


BIND 的 配置 文件 为 /etcnamed.conf， 在 这 个 档案 里 面 可 以 规范 zone 
file 的 完 


整 档 名 喔 ! 也 就 是 说 ， 你 的 zone file 其 实 是 由 /etc/named.conf 所 指定 
的 ， 所 以 


zone file 档 名 可 以 随便 取 啦 ! 只 要 /etcnamed.conf 内 规范 为 正确 即 
可 。 一 般 来 说 ， 


CentOS 6.x 的 默认 目录 是 这 样 的 : 


D /etcnamed.conf : 这 就 是 我 们 的 主 配置 文件 啦 ! 


DO /etc/sysconfigmnamed : 是 否 局 动 chroot 及 额外 的 参数 ， 就 由 这 个 档 


案 
控制 ; 

吕 /varnamed/ : 数据 库 档案 默认 放置 在 这 个 目 孙 

吕 /varrun/named : named 这 文 程 序 执行 时 默认 放置 pid-file 在 此 目录 


Le 


0 


/etc/sysconfig/named 与 chroot 环境 


不 过 ， 为 了 系统 的 安全 性 考虑 ， 一 般 来 说 目前 各 主要 distributions 都 已 
经 目 动 

的 将 你 的 bind 相关 程序 给 他 chroot 了 ! 和 那 你 如 何 知 道 你 chroot 所 指 
定 的 目录 在 


哪里 昵 ? 其 实 是 记录 在 /etc/sysconfig/named 里 面 啦 ! 你 可 以 先 查 阅 一 
下 : 


[root@www ~]# cat /etc/sysconfig/named 
ROOTDIR=/var/named/chroot 


事实 上 该 档案 内 较 有 意义 的 束 只 有 上 面 这 一 行 ， 意思 是 说 ，『 我 要 将 


named 给 他 


chroot ， 并 且 变 更 的 根 目 未 为 /var/named/chroot 」 喔 ! 由 于 根 日 隶 已 
经 被 变更 到 


/varnamed/chroot 了 ， 但 bind 的 相关 程序 是 需要 /etc, /varnamed， 
/Var/run ... 


目 孙 的 ， 所 以 实际 上 咱们 bind 的 相关 程序 所 需要 的 所 有 数据 会 是 


[| /var/named/chroot/etc/named.conf 


net.qiang(Ohotmail.com 


[| /varnamed/chroot/varnamed/zone _filel 
[| /var/named/chroot/var/named/zone file..... 


[| /var/named/chroot/var/run/named/... 


哇 ! 真是 好 厅 烦 ~ 不 过 ， 不 要 太 担 心 ! 因为 新 版 本 的 CentOS 6.x 已 经 
将 chroot 所 


需要 使 用 到 的 目 孙 ， 透 过 mount --bind 的 功能 进行 目录 链接 了 (参考 


/etc/init.d/mamed 内 容 )， 举 例 来 说 ， 我 们 需要 的 warnamed 在 局 动 脚本 
中 透 过 


mount --bind /var/named /varnamed/chroot/varnamed 进行 目录 绑 定 虽 ! 


所 以 在 


CentOS 6.x 当中 ， 你 根本 无 须 切 换 至 /var/named/chroot/ 了 ! 使 用 正规 
的 目录 即 可 


喔 ! 束 是 这 样 简 单 ! 和 人 人 


Tips: 


事实 上 ， 
/etc/sysconfig/named 是 由 /etcinit.dnamed 启动 时 


所 读 入 的 ， 所 以 你 也 可 以 直接 修改 /etc/init.d/mamed 这 个 


script 哩 ! 
19.3.3 单纯 的 cache-only DNS 服务 器 与 forwarding 功能 


在 下 一 人 小节 开始 介绍 正 、 反 解 zone 的 数据 设 定之 前 ， 在 这 个 小 节 当 
中 ， 我 们 先 来 


谈 一 个 单纯 修改 配置 文件 ， 而 不 必 设 计 zone file 的 环境 ， 那 束 是 不 具 
有 目 己 正 反 解 


zone 的 仅 进行 快 取 的 DNS 服务 絮 。 
什么 是 cache-only 与 forwarding DNS 服务 右 呢 ? 


有 个 只 需要 . 这 个 zone fe 的 简单 DNS 服务 器 ， 我 们 称 这 种 没有 自己 
公开 的 


DNS 数据 库 的 服务 器 为 cache-only ( 仅 快 取 ) DNS server! 顾名思义 ， 
这 个 DNS server 


只 有 快 取 搜寻 结果 的 功能 ， 也 束 是 说 ， 他 本 吴 并 没有 主机 名 与 IP 正 反 
解 的 配置 文件 ， 


完全 是 由 对 外 的 碍 询 来 提供 他 的 数据 源 ! 
那 如 果 连 . 都 不 想 要 呢 ? 那 束 得 要 指定 一 个 上 层 DNS 服务 做 作为 你 的 


forwarding ( 转 递 ) 目标 ， 将 原本 上 自己 要 往 . 查询 的 任务 ， 丢 给 上 层 
DNS 服务 需 去 烦 


恼 即 可 。 如 此 一 来 ， 我 们 这 部 具有 forwarding 功能 的 DNS 服务 絮 ， 
甚至 连 . 都 不 


需要 了 ! 因为 .有 记录 在 上 层 DNS 上 头 了 嘛 ! 
如 同 刚刚 提 到 的 ，cache only 的 DNS 并 不 存在 数据 库 (其 实 还 是 存在 . 


让 
root 领域 的 zone file)， 因此 不 论 是 谁 来 查询 数据 ， 这 部 DNS 一 律 开 
始 从 自己 的 快 


取 以 及 . 找 起 ， 整 个 流程 与 图 19.1-4 相同 。 那 如 果 具 有 forwarding 功 
能 呢 ? 果真 


如 此 ， 那 即使 你 的 DNS 具有 .这 个 zone file， 这 部 DNS 还 是 会 将 查询 
权 『 委 请 J 
上 层 DNS 查询 的 ， 这 部 DNS 服务 器 当场 变 成 客户 端 啦 ! 查询 流程 会 
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S 
2 . (root) 


, ii] 上 上 
in | | ?> Bg 
> < rr 
且 有 forwarding - 奉 DNS ~、 
Ys DNS server 人 YY 
(x oh hn < 起 Ww 
洲 = 不 
me = YW 
加 束 “© 
天 元 % 和 
< 是 
.ksu.edu,tw edu.tw 
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19.3-1、 具 有 forwarding 功能 的 DNS 服务 需 碍 询 方式 


观察 上 图 的 查询 方向 ， 你 会 发 现 到 ， 具 有 forwarding 机 制 时 ， 查 询 权 


会 委 请 上 层 


DNS 服务 器 来 处 理 ， 所 以 根本 也 不 需要 . 这 个 位 置 所 在 的 zone 啦 。 一 
般 来 说 ， 如 果 


你 的 环境 需要 架设 一 个 cache-only 的 DNS 服务 器 时 ， 其 实 可 以 直接 加 
上 forwarding 


的 机 市， 让 查询 权 指 向 上 层 或 者 是 流量 较 大 的 上 层 DNS 服务 器 即 可 。 
那 既 然 cache 


only 的 服务 器 并 没有 数据 库 ， forwarding 机 制 甚至 不 需要 . 的 zone ， 
那 干 嘛 还 得 


要 架设 这 样 的 DNS 呢 ? 是 有 理由 的 啦 ! 
什么 时 候 有 架设 cache-only DNS 的 需求 ? 


在 某 些 公司 行 豆 里头， 为 了 预防 员工 利用 公司 的 网 络 货 源 作 目 己 的 事 
情 ， 所 以 都 会 


针对 Internet 的 联机 作 比 较 严 格 的 限制 。 当 然 啦 ， 连 port 53 这 个 DNS 


会 用 到 的 


port 也 可 能 会 被 挡 在 防火 墙 之 外 的 一 这 个 时 候 ， 你 可 以 在 『 防 火 墙 的 
那 部 机 右上 面 ， 


加 压 一 个 cache-only 的 DNS 服务 ! J 


这 是 什么 意思 呢 ? 很 简单 啊 ! 就 是 你 自己 利用 上 自己 的 防火 墙 主机 上 的 
DNS 服务 去 


帮 你 的 Client 端 解 译 hostname <--> IP 史 ! 因为 防火 墙 主机 可 以 设 定 放 
行 目 己 的 


DNS 功能 ， 而 Client 端 束 设 定 该 防火 墙 IP 为 DNS 服务 器 的 IP 即 可 ! 
哈哈 ! 这 样 


忠 可 以 取得 主机 名 与 IP 的 转译 啦 ! 所 以 ， 通 第 架设 cache only DNS 服 
务 磊 大 都 是 为 


了 系统 安全 喝 。 
DD 
实际 设 定 cache-only DNS server 


那 如 何在 你 的 Linux 主机 上 架设 一 个 cache-only 的 DNS 服务 器 呢 ? 其 
实 真 的 


很 简单 的 啦 ! 因为 不 需要 设 定 正 反 解 的 zone (只 需要 . 的 zone 支持 即 
可 )， 所 以 只 
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要 设 定 一 个 档案 ( 吏 是 named.conf 主 配置 文件 ) 即 可 ! 真是 快乐 得 不 得 
了 呐 ! 男 外 ， 


cache-only 只 要 加 上 个 forwarders 的 设 定 即 可 指定 forwarding 的 数据 ， 
所 以 殿下 


我 们 将 设 定 具 有 forwarding 的 cache-only DNS 服务 器 吧 ! 
1. 
编辑 主要 配置 文件 : /etc/named.conf 


虽然 我 们 具有 chroot 的 环境 ， 不 过 由 于 CentOS 6.x 已 经 透 过 局 动 脚本 
帮 有 我 们 


进行 档案 与 目 永 的 挂 载 链接 ， 所 以 请 你 直接 修改 /etc/named.conf 即 可 
哟 ! 不 


要 再 去 /var/mamed/chroot/etc/named.conf 修改 啦 ! 在 这 个 档案 中 ， 主 要 
日 
十 


关 的 设 定 ， 以 及 各 个 zone 的 领域 及 数据 库 所 在 文 
件 名 。 在 


乌 哥 的 这 个 和 案例 当中 ， 因 为 使 用 了 forwarding 的 机 制 ， 所 以 这 个 


cache-only 


~ 服务 右 并 没有 zone ( 连 . 都 没有 )， 所 以 我 们 只 要 设 定好 跟 服 务 郁 
天 的 


设 定 即 可 。 设 定 这 个 档案 的 时 候 请 注意 : 

o 批注 数据 是 放置 在 两 条 斜 线 『 // 4 后 面 接 的 数据 
0 每 个 段落 之 后 都 需要 以 分 号 『 ; J 来 做 为 结尾 ! 

鸟 哥 将 这 个 档案 再 简化 如 下 的 样式 : 

[root@www ~]# cp /etc/named.conf /etc/named.conf .raw 


[root@www ~]# vim /etc/named.conf 


// 在 预 设 的 情况 下 ， 这 个 档案 会 去 读 取 /etc/named.rfc1912.zones 这 个 
领 
信人 


域 定 义 档 

/所 以 请 记得 要 修改 成 底下 的 样式 啊 ! 

options { 

listen-on port 53 { any; }; // 可 不 设 定 ， 代 表 全 部 接受 
directory "/var/mamed"; // 数 据 库 默 认 放置 的 目录 所 在 


dump-file "/var/named/data/cache_dump.db"; // 一 些 


统计 信息 

statistics-file "/var/named/data/named_stats.txt"; 
memstatistics-file "/var/named/data/named_ mem_ stats.txt"; 
allow-query { any; }; /可 不 设 定 ， 代 表 全 部 接受 
recursion yes; // 将 目 己 视 为 客户 端的 一 种 查 

询 模 式 


forward only; /可 暂时 不 设 定 


forwarders { /是 重点 ! 

168.95.1.1; // 先 用 中 华电 信 的 DNS 当 上 
层 

139.175.10.20; /再 用 seednet 当 上 技 

}; 
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} /和 最 终 记得 要 结尾 符号 ! 


马 哥 将 大 部 分 的 数据 都 子 以 删除 ， 只 将 少 部 分 保留 的 数据 加 以 小 部 分 
的 修订 而 已 。 


在 named.conf 的 结构 中 ， 与 服务 絮 环 境 有 关 的 是 由 options 这 个 项 目 
内 容 设 


定 的 ， 因 为 options 里 面 还 有 很 多 子 参 数 ， 所 以 束 以 大 括号 { } 包 起 来 
虽 。 


至 于 options 内 的 子 参 数 在 上 面 提 到 的 较 重要 的 项 目 简 单 牧 述 如 下 : 


o listen-on port 53 { any; }; 


监听 在 这 部 主机 系统 上 面 的 哪个 网 络 接口 。 预 设 是 监听 在 localhost， 


站 


即 只 有 本 机 可 以 对 DNS 服务 进行 查询 ， 那 当然 是 很 不 合理 啊 ! 所 以 


这 里 


0 any。 记 得 ， 因 为 可 以 监听 多 个 接口 ， 
此 any 


后 面 得 要 加 上 分 号 才 算 结束 嘱 ! 另外 ， 这 个 项 目 如 果 忘记 写 也 没有 关 


2 


因为 默认 是 对 整个 主机 系统 的 所 有 接口 进行 监听 的 。 


o directory "/var/named"; 

意思 是 说 ， 如 采 此 档案 底下 有 规范 到 正 、 反 解 的 zone file 档 名 时 ， 

档 名 预 设 应 该 放置 在 哪个 目录 底下 的 意 息 。 预 设 放 置 到 /varnamed/ 帮 
下 。 由 于 chroot 的 关系 ， 最 终 这 些 数据 库 档 案 会 被 主动 链接 到 


/var/named/chroot/var/named/ 这 个 日 好。 


o dump-file, statistics-file, memstatistics-file 


与 named 这 个 服务 有 关 的 许多 统计 信息 ， 如 果 想 要 输出 成 为 档案 的 
话 ， 


预 设 的 档 名 就 如 上 所 述 。 乌 哥 上 自己 很 少 看 这 些 统计 资料 ， 所 以 ， 这 二 
个 


设 定 值 写 不 写 应 该 都 是 没有 关系 的 。 


o allow-query { any; }; 


这 个 是 针对 客户 端的 设 定 ， 到 撒 谁 可 以 对 我 的 DNS 服务 提出 查询 请 求 


意思 。 原 本 的 档案 内 容 预 设 是 针对 localhost 开放 而 已 ， 我 们 这 里 改 成 
对 所 有 的 用 户 开 放 (当然 啦 ， 防 火 墙 也 得 放行 才 行 )。 不 过 ， 默 认 DNS 


整 


是 对 所 有 用 户 放行 ， 所 以 这 个 设 定 值 也 可 以 不 用 写 。 


TT 


o forward only; 
这 个 设 定 可 以 让 你 的 DNS 服务 恬 仅 进行 
file 的 设 定 ， 也 不 会 使 用 . 的 数据 ， 只 会 将 查询 权 交 给 上 层 DNS 服务 


右 而 已 ， 是 cache only DNS 最 常见 的 设 定 了 |! 


forward， 即 使 有 . 这 个 zone 


o forwarders { 168.95.1.1; 139.175.10.20; }; 


既然 有 forward only， 那 么 到 底 要 对 哪 部 上 层 DNS 服务 器 进 行 转 i 
呢 ? 


那 就 是 forwarders (不 要 起 记 那 个 s) 设 定 值 的 重要 性 了 1! 由 于 担心 上 


层 DNS 服务 器 也 可 能 会 挂 点 ， 因 此 可 以 设 定 多 部 上 层 DNS 服务 大 
喔 | 


一 个 forwarder 服务 器 的 IP 都 需要 有 “『 ; 4 来 做 为 结尾 ! 


很 简单 吧 ! 至 于 更 多 的 参数 我 们 会 在 后 续篇 幅 当 中 慢 慢 介绍 的 。 这 样 
就 已 经 设 定 


注 


完成 了 最 简单 的 cache only DNS server 了 | 
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2. 


启动 named 并 观察 服务 的 埋 口 


局 动 总 不 会 起 记 吧 ? 赶快 去 局 动 一 下 吧 ! 同时 启动 完毕 之 后 ， 


下 由 named 

所 开局 的 塌 口 ， 看 看 到 底 哪 些 塌 口 会 涪 DNS 用 到 的 ! 
#1. 启动 一 下 DNS 这 玩意 儿 ! 

[root@www ~ |]# /etc/init.d/named start 

Starting named: [ OK | 

[root@www ~]# chkcontftig named on 

# 2. 到 麻 用 了 多 少 埋 口 呢 ? 

[root@www ~]# netstat -utlnp | grep named 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 192.168.100.254:53 0.0.0.0:* LISTEN 
3140/named 

tcp 0 0 192.168.1.100:53 0.0.0.0:* LISTEN 

3140/named 

tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 

3140/named 

tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 


3140/named 


观 


PC 
祭 一 


tcp 0 0 ::1:953 :::* LISTEN 
3140/named 

udp 0 0 192.168.100.254:53 0.0.0.0:* 
3140/named 

udp 0 0 192.168.1.100:53 0.0.0.0:* 
3140/named 

udp 0 0 127.0.0.1:53 0.0.0.0:* 
3140/named 


我 们 知道 DNS 会 同时 启用 UDP/TCP 的 port 53， 而 且 是 针对 所 有 接 
日; 因此 此 


ea 什么 特异 的 部 分 。 不 过 ， 怎 么 会 有 port 953 且 仅 针 对 
儿 来 监 


听 呢 ? 其 实 那 是 named 的 远程 控制 功能 ， 称 为 远程 名 称 解析 服务 控制 


(remote name daemon control, rndcj。 预 设 的 情况 下 ， 仅 有 本 机 可 以 针 
对 rndc 


控制 。 我 们 会 在 后 续 的 章节 再 来 探讨 这 个 mndc 啦 ， 目 前 我 们 只 要 知 
道 


过 
UDP/TCP port 53 有 启动 即 可 。 
3. 
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分 查 /Var/log/messages 的 内 容 讯 上 ( 极 重要 ! ) 


named 这 个 服务 的 记录 文件 束 直 接 给 他 放置 在 /var/log/messages 里 面 
啦 ， 所 


以 来 看 看 里 面 的 几 行 登录 信息 吧 ! 


[root@www ~]# tail -n 30 /var/log/messages | grep named 


Aug 4 14:57:09 www named[3140]: starting BIND 9.7.0-P2-RedHat-9.7.0- 
5.P2.el6_0.1 -unamed 


-t /varnamed/chroot <== 说 明 的 是 chroot 在 哪个 目录 下 ! 


Aug 4 14:57:09 www named[3140]: adjusted limit on open files from 1024 
to 1048576 


Aug 4 14:57:09 www named[3140]: found 1 CPU, using 1 worker thread 
Aug 4 14:57:09 www named[3140]: using up to 4096 sockets 


Aug 4 14:57:09 www named[3140]: loading configuration from 
‘etc/named.conf' 


Aug 4 14:57:09 www named[3140]: using default UDP/IPv4 port range: 
[1024, 65535] 


Aug 4 14:57:09 www named[3140]: using default UDP/IPV6 port range: 
[1024, 65535] 


Aug 4 14:57:09 www named[3140]: listening on IPv4 interface lo, 
127.0.0.1#53 


Aug 4 14:57:09 www named[3140]: listening on IPv4 interface eth0， 
192.168.1.100#53 


Aug 4 14:57:09 www named[3140]: listening on IPv4 interface eth1, 
192.168.100.254#53 


Aug 4 14:57:09 www named[3140]: generating session key for dynamic 
DNS 


Aug 4 14:57:09 www named[3140]: command channel listening on 
127.0.0.1#953 


Aug 4 14:57:09 www named[3140]: command channel listening on ::1#953 
Aug 4 14:57:09 www named[3140]: the working directory is not writable 
Aug 4 14:57:09 www named[3140]: running 


上 面 最 重要 的 是 第 一 行 出 现 的 『-t .4 那个 项 目 指出 你 的 chroot 目录 
嘱 。 瑟 


外 ， 上 面 表格 中 特殊 字体 的 部 分 ， 有 写 到 读 取 /etc/named.conf， 代 表 
可 以 顺利 


的 加 载 /var/named/etc/named.conf 的 意思 。 如 果 上 面 有 出 现 冒 号 后 面 接 
数字 


(:10)， 那 束 代 表 某 个 档案 内 的 第 十 行 有 问题 的 意思 ， 届 时 再 进入 处 理 
即 可 。 要 


注意 的 是 ， 即 使 port 53 有 局 动 ， 但 有 可 能 DNS 服务 是 错误 的 ， 此 时 


这 个 登录 


档 就 显 的 非常 重要 ! 每 次 重新 启动 DNS 后 ， 请 务必 查阅 一 下 这 个 档案 
的 内 容 ! ! 


Tips: 


如 果 你 在 /var/log/messages 里 面 一 直 看 到 这 样 的 错误 信息 : 
couldn't add command channel 127.0.0.1#953: not found 

那 表 示 你 还 必需 要 加 入 rndc key ， 请 参考 本 章 后 面 的 利用 RNDC 
指令 管理 DNS 服务 器 的 介绍 ， 将 他 加 入 你 的 named.conf 中 ! 

4. 

测试 : 

如 果 你 的 DNS 伺服 妖 具 有 连 上 因特网 的 功能 ， 那 么 透 过 『 dig 


www.google.com 


ee J 这 个 基本 指令 执行 看 看 ， 如 果 有 找到 google 的 IP ， 并 
且 输 
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0 


数据 的 最 底下 显示 『 SERVER: 127.0.0.1#53(127.0.0.1) 4 的 字样 ， 那 
就 代表 


村 别 说 明 : Forwarders 的 好 处 与 问题 分 析 


天 于 forwarder 的 好 处 与 坏处 ， 其 实 有 很 多 种 的 意见 ! 大 致 的 意见 可 分 
为 这 两 派 : 


利用 Forwarder 的 功能 来 增进 效能 的 理论 : 


这 些 朋友 们 认为 ， 当 很 多 的 下 层 DNS 服务 器 都 使 用 forwarder 时 ， 那 
么 那个 被 


设 定 为 forwarder 的 主机 ， 由 于 会 记录 很 多 的 查询 信息 记录 (请 参考 图 
1-4 


的 说 明 )， 因 此 ， 对 于 那些 下 层 的 DNS 服务 器 而 言 ， 查 询 速度 会 增 快 
很 多 ， 亦 即 


人 多 的 查询 时 间 ! 因为 forwarder 服务 器 里 面 有 较 多 的 快 取 记录 
了 了， 


以 包括 forwarder 本 喘 ， 以 及 所 有 问 这 部 forwarder 要 求 数据 的 DNS 服 
和 劳 硕 ， 


都 能 够 减少 往 . 查询 的 机 会 ， 因此 速度 当然 增加 。 
利用 Forwarder 反而 会 使 整体 的 效能 降低 : 


但 是 另外 一 派 则 持 相 反 的 见解 ! 这 是 因为 当主 DNS 本 映 的 『 业 务 量 J 
忠 很 粽 忙 


的 时 候 ， 那 么 你 的 cache only DNS 服务 器 还 向 他 要 求 数据 ， 因 为 他 原 
本 的 数据 


传输 量 束 太 大 了 ， 带 冤 方 面 可 能 人 负 葵 不 量 ， 而 太 多 的 下 层 DNS 还 向 他 
要 求 数据 ， 


所 以 他 的 查询 速度 会 变 慢 ! 因为 查询 速度 变 慢 了 ， 而 你 的 cache only 


server 又 
是 癌 他 提出 要 求 的 ， 所 以 目 然 两 边 的 查询 速度 束 会 同步 下 降 ! 


很 多 种 说 法 啦 ! 乌 哥 本 人 也 觉得 很 有 趣 哩 ! 只 是 不 知道 哪 一 派 较 正确 
束 是 了 ， 不 过 


可 以 知道 的 是 ， 如 果 上 层 的 DNS 速度 很 快 的 话 ， 那 么 他 被 设 定 为 
forwarder 时 ， 或 许 


真 的 可 以 增加 不 少 效 能 哩 ! 


19.4 DNS 服务 器 的 详细 设 定 


好 了 ， 经 过 上 面 的 说 明 后 ， 我 们 大 概 知道 DNS 的 几 个 小 细 市 是 这 样 
的 : 


1. DNS 服务 器 的 架设 需要 上 层 DNS 的 授权 才 可 以 成 为 合法 的 DNS 服 


务 器 
(否则 只 是 练功 ); 


2. 配置 文件 位 置 ， 目前 bind 程序 已 进行 chroot， 相 天目 如 可 参考 


/etc/sysconfig/named; 
3. named 主要 配置 文件 是 /etcnamed.conf; 
4. 每 个 正 、 反 解 领域 都 需要 一 个 数据 库 档案 ， 而 文件 名 则 是 由 


/etc/named.conf 所 设 定 ; 


net.qiang(Ohotmail.com 


人 
5. 当 DNS 查询 时 ， 若 本 身 没 有 数据 库 档 案 ， 则 前 往 root (.) 或 


forwarders 
服务 絮 查 询 ; 
6. named 是 否 启动 成 功 务必 要 查阅 /varlog/messages 内 的 信息 ! 


其 中 第 一 点 很 重要 ， 因 为 我 们 尚未 网 上层 ISP 注册 合法 的 领域 名 ， 所 
以 我 们 当然 


束 没 有 权利 染 设 合法 的 DNS 服务 器 了 。 而 由 于 担心 我 们 的 DNS 服务 
器 会 与 外 部 因 特 


网 环境 互相 干扰 ， 所 以 底下 乌 哥 将 主要 以 一 个 centos.vbird 的 领域 名 来 


架设 DNS 服 
务 器 ， 如 此 一 来 咱们 就 可 以 好 好 的 玩 一 玩 目 己 局 域 网 络 内 的 DNS 啦 ! 
19.4.1 正解 文件 记录 的 数据 (Resource Record, RR) 


既然 DNS 最 早 之 前 的 目的 束 古 要 从 主机 名 去 找到 IP， 所 以 束 让 我 们 
先 从 正解 


zone 来 谈 起 吧 。 既 然 要 谈 正解 ， 那么 就 应 该 要 了 人 解 正解 档案 记录 的 信 
思 有 哪些 吧 ? 在 


这 个 小 节 里 面 ， 我 们 就 完 来 谈 谈 正解 zone 常常 记录 的 数据 有 哪些 吧 。 
DD 
正解 文件 资源 记录 (resource record, RR) 格式 


我 们 从 前 面 几 个 小 节 的 dig 指令 输出 结 采 中 ， 可 以 发 现 到 一 个 有 趣 的 
吃 吃 ， 那 束 


是 输出 的 数据 格式 似乎 是 固定 的 ! 举例 来 说 ， 查 询 www.ksu.edu.tw 的 
IP 上 时， 输出 


的 结 来 为 : 

[root@www ~]# dig www.ksu.edu.tw 

.…( 表 面 省 略 ).…. 

;; ANSWER SECTION: 

www.ksu.edu.tw. 2203 IN A 120.114.100.101 
;; AUTHORITY SECTION: 


ksu.edu.tw. 911 IN NS dns1.ksu.edu.tw. 


.…( 后 面 省 略 ).…. 
# 上 面 的 输出 数据 已 经 被 简化 过 了 ， 重 点 是 要 大 家 了 解 RR 的 格式 
在 答案 的 输出 阶段 ， 主 要 查询 得 到 的 是 A 的 标志 ， 在 认证 阶段 ， 则 是 


提供 ksu.edu.tw 


的 NS 服务 器 为 哪 一 部 的 意思 。 格式 非常 接近 ， 只 是 A 后 面 接 IP， 而 
NS 后 面 接 主 


机 名 而 已 。 我 们 可 以 将 整个 输出 的 格式 简化 成 为 如 下 的 说 明 : 
[domain | [tt IN [[RR type] [RR datall 

[ 待 查 数据 ] [ 暂 存 时 间 ( 秒 )] IN [[ 资 源 类 型 ] [资源 内 容 ]] 
net.giang(@hotmail.com 


上 表 中 ， 关 键 词 IN 是 固定 的 ， 而 RR type 与 RR data 则 是 互 有 关连 性 
的 ， 例 如 刚刚 


才 提 过 的 A 就 是 接 人 P 而 不 是 主机 名 啊 。 °。 此外， 在 domain 的 部 分 
可 能 的 话 ， 请 


尽量 使 用 FQDN， 亦 即 是 主机 名 结尾 加 上 一 个 小 数 点 的 (.) 就 被 称 为 
FQDN 了 ! 例如 网 


刚 dig www.ksu.edu.tw 的 输出 结果 中 ， 在 答案 阶段 时 ， 搜 寻 的 主机 名 
会 变 成 


www.ksu.edu.tw. 喔 ! 注意 看 最 后 面 有 个 小 数 点 喔 ! 那个 小 数 点 非常 重 


要 | 


至 于 tt 就 是 time to live 的 缩写 ， 意 思 就 是 当 这 笔记 好 仆 其 他 DNS 服 


Dra 
和 


询 到 后 ， 这 个 记录 会 保持 在 对 方 DNS 服务 器 的 快 取 中 ， 保 持 多 少 秒 
钟 的 意思 。 所 以 ， 


当 你 反复 执行 dig www.ksu.edu.tw 之 后 ， 束 会 发 现 这 个 时 间 会 减少 1 
为 什么 呢 ? 因 为 


在 你 的 DNS 快 取 中 ， 这 笔 数 据 能 够 保存 的 时 间 会 开始 倒数 ， 当 这 个 
数字 归 零 后 ， 下 次 


有 人 再 重新 搜寻 这 笔记 录 时 ， 你 的 DNS 束 会 重新 沿 厦 . (root) 开始 重 
来 搜寻 一 授 ， 


而 不 会 从 快 取 里 面 提取 了 (因为 快 取 内 的 资料 会 被 舍弃 ) 。 
由 于 也 可 由 特定 的 参数 来 统一 控 管 ， 因 此 在 RR 的 记 采 格式 中 ， 通 常 


这 个 也 


的 字段 是 可 以 忽略 的 。 那 么 常见 的 RR 有 哪些 呢 ? 我 们 将 正解 文件 的 
RR 记录 格式 汇 


整 如 下 : 

# 常见 的 正解 文件 RR 相关 信息 

[domain] IN [[RR type] [RR data]] 

主机 名 .IN A IPv4 的 IP 地 址 

主机 名 .IN AAAA IPv6 的 卫 地址 

领域 名 . IN NS 管理 这 个 领域 名 的 服务 器 主机 名 字 . 

领域 名 . IN SOA 管理 这 个 领域 名 的 七 个 重要 参数 ( 容 后 说 明 ) 
领域 名 . IN MX 顺序 数字 接收 邮件 的 服务 器 主机 名 字 

主机 别名 . IN CNAME 实际 代表 这 个 主机 别名 的 主机 和 名字 . 
接 下 来 我 们 以 昆山 科大 的 DNS 设 定 ， 包 括 ksu.edu.tw 这 个 领域 


(domain, zone)， 以 


及 www.ksu.edu.tw 这 个 主机 名 (FQDN) 的 查询 结果 来 跟 大 家 解释 每 个 
RR 记录 的 信 


轧 为 何 哟 |! 
0 
A, AAAA : 查询 IP 的 记录 


这 个 A 的 RR 类 型 是 在 查询 某 个 主机 名 的 1， 也 是 最 长 被 查询 的 一 个 
RR 标志 喔 ! 


举例 来 说 ， 要 找到 www.ksu.edu.tw 的 A 的 话 ， 束 是 这 样 查 : 


Ra 


[root@www ~]# dig [-t al www.ksu.edu.tw 

;; ANSWER SECTION: 

www.ksu.edu.tw. 2987 IN A 120.114.100.101 

# 主机 FQDN. tt 这 部 主机 的 IP 惑 是 

这 里 

net.giang(@hotmail.com 

# 仅 列 出 答案 阶段 的 资料 ， 后 续 的 RR 相关 标志 也 是 这 样 显示 的 喔 ! 
# 指令 列 中 的 [-ta] 可 以 不 加 ， 而 最 左边 主机 各 结尾 都 会 有 小 数 点 喔 ! 


左边 是 主机 名 ， 当 然 ， 你 也 可 以 让 你 的 domain 拥有 一 个 A 的 标志 ， 
例如 『 dig 


google.com J 也 能 找到 IP。 不过， 咱们 昆山 科大 的 ksu.edu.tw 则 没有 
设 定 IP 就 

是 了 。 要 再 次 特别 强调 的 ， 主 机 名 如 果 是 全 名 ， 结 尾部 分 请 务必 加 上 
小 数 点 。 如 果 你 


的 IP 设 定 的 是 IPv6 的 话 ， 那 么 查询 殉 得 要 使 用 aaaa 类 型 才 行 。 
四 
NS : 查询 管理 领域 名 (zone) 的 服务 絮 主 机 名 


如 果 你 想 要 知道 www.ksu.edu.tw 的 这 笔记 杂 是 由 哪 部 DNS 服务 需 提 
供 的 ， 那 就 


得 要 使 用 NS (NameServer) 的 RR 类 型 标志 来 查询 。 不 过 ， 由 于 NS 是 
管理 整个 领域 


的 ， 因 些 ， 你 得 要 查询 的 目标 将 得 输入 domain， 亦 即 ksu.edu.tw 才 行 
喔 ! 举例 如 下 : 


[root@www ~]# dig -tns ksu.edu.tw 

;; ANSWER SECTION: 

ksu.edu.tw. 1596 IN NS dns1.ksu.edu.tw. 

;; ADDITIONAL SECTION: 

dns1.ksu.edu.tw. 577 IN A 120.114.50.1 

# 除了 列 出 NS 是 哪 部 服务 圳 之 外 ， 该 服务 需 的 卫 也 会 额外 提供 ! 


前 面 提 过 ，DNS 服务 器 是 很 重要 的 ， 因 此 至 少 都 会 有 两 部 以 上 。 昆 山 
科大 共有 三 部 DNS 


服务 器 ， 乌 哥 仅 列 出 第 一 部 提供 参考 。 NS 后 面 会 加 服务 右 名 称 ， 而 
这 个 服务 器 的 也 也 


会 额外 提供 才 对 ! 因此 NS 经 常 伴随 A 的 标志 啊 ! 这 样 你 才能 到 NS 
去 查询 数据 嘛 | 


这 样 说 有 理解 吧 ? 和信 


0 
SOA : 得 询 管 理 领域 名 的 服务 郁 管 理 信息 


如 果 你 有 多 部 DNS 服务 右 管 理 同一 个 领域 名 时 ， 那 么 最 好 使 用 


master/slave 的 


方式 来 进行 管理 。 既 然 要 这 样 管理 ， 那 惑 得 要 宣告 被 管理 的 zone file 
征 如 何 进行 传 


输 的 ， 此 时 束 得 要 SOA (Start Of Authority) 的 标志 了 “。 先 来 瞧 瞧 昆山 
科大 的 设 定 是 


怎样 : 


[root@www ~]# dig -t soa ksu.edu.tw 

;; ANSWER SECTION: 

ksu.edu.tw. 3600 IN SOA dns1.ksu.edu.tw. 
net.qiang(Ohotmail.com 
abuse.mail.ksu.edu.tw. 

2010080369 1800 900 604800 86400 

# 上 述 的 输出 结果 是 同一 行 喔 ! 


SOA 主要 是 与 领域 有 关 ， 所 以 前 面 当然 要 写 ksu.edu.tw 这 个 领域 名 。 
而 SOA 后 面 共 


会 搂 七 个 参数 ， 这 七 个 参数 的 意义 依 序 是 : 


1. Master DNS 服务 器 主机 名 : 这 个 领域 主要 是 哪 部 DNS 作为 master 
的 意思 。 


在 本 例 中 ， dns1.ksu.edu.tw 为 ksu.edu.tw 这 个 领域 的 主要 DNS 服务 器 
史 ; 


2. 管理 员 的 email: 那么 管理 员 的 email 为 何 ? 发 生 问题 可 以 联络 这 个 
名 全 
名 理 


员 。 要 注意 的 是 ， 由 于 @ 在 数据 库 档 案 中 是 有 特别 意义 的 ， 因 此 这 
里 就 将 

abuse@mail.ksu.edu.tw 改写 成 abuse.mail.ksu.edu.tw ， 这 样 看 的 懂 了 
吗 ? 


7 (SeriaD): 这 个 序号 代表 的 是 这 个 数据 库 档 案 的 新 上 日， 序号 越 大 
代 


越 新 。 当 slave 要 判断 是 否 主动 下 载 新 的 数据 库 时 ， 束 以 序号 是 否 比 
slave 上 


的 还 要 新 来 判断 ， 若 是 则 下 载 ， 帮 不 是 则 不 下 载 。 所 以 当 你 修订 了 数 
据 库 内 容 
时 ， 记 得 要 将 这 个 数值 放大 才 行 ! 为 了 方便 用 户 记忆 ， 通 常 序号 都 会 
使 用 日 期 


格式 『YYYYMMDDNUJ 来 记忆 ， 例 如 昆山 科大 的 2010080369 序号 
代表 2010/08/03 


当天 的 第 69 次 更 新 的 感觉 。 不 过 ， 序 号 不 可 大 于 2 的 32 次 方 ， 亦 即 
必须 小 


阔 


于 4294967296 才 行 喔 。 
4. 更 新 频率 (Refresm): 那么 蛤 时 slave 会 去 回 master 要 求 数 据 更 新 的 
判 


岂 ? 束 是 这 个 数值 定义 的 。 昆 山 科 大 的 DNS 设 定 每 1800 秒 进 行 一 次 
slave 


要 求 数据 更 新 。 那 每 次 slave 去 更 新 时 ， 如 果 发 现 序号 没有 
比较 大 ， 


那 就 不 会 下 载 数据 库 档 案 。 
5. 失败 重新 尝试 时 间 (Retry): 如 果 因 为 某 些 因素 ， 导 致 lave 无 法 对 
master 达成 联机 ， 那 么 在 多 和 久 的 时 间 内 ，slave 会 尝试 重新 联机 到 


master ° 


在 昆山 科大 的 设 定 中 ，900 秒 会 重新 尝试 一 次 。 意 思 是 说 ， 每 1800 秒 
slave 会 


主动 同 master 联机 ， 但 如 采 该 次 联机 没有 成 功 ， 那 接 下 来 竹 试 联机 的 


时 间 会 变 

成 900 秒 。 大 后 来 有 成 功 ， 则 又 会 恢复 到 1800 秒 才 再 一 次 联机 。 

6. i (Expire): 如 果 一 直 失 败 尝试 时 间 ， 持 续 联 机 到 达 这 个 设 
定 值 时 


限 ， 那 么 slave 将 不 再 继续 宪 斌 联机， 并且 壬 试 删除 这 份 下 载 的 zone 


file 信 


轧 。 昆山 科大 设 定 为 604800 秒 。 意 思 是 说 ， 当 联机 一 直 失 败 ， 每 900 
秒 尝 试 


到 达 604800 秒 后 ， 昆 山 科 大 的 slave 将 不 再 更 新 ， 只 能 等 待 系统 管理 
员 的 处 


理 。 


7. 快 取 时 间 (Minumum TTL): 如 果 这 个 数据 库 zone file 中 ， 每 笔 RR 
记录 


都 没有 写 到 TTL 快 取 时 间 的 话 ， 那 么 吏 以 这 个 SOA 的 设 定 值 为 主 。 


除了 Serial 不 可 以 超过 2 的 32 次 方 之 外 ， 有 没有 其 它 的 限制 啊 针 对 这 
J 


值 ? 是 有 的 ， 基 本 上 整 是 这 样 : 
net.giang(@hotmail.com 

LD Refresh >= Retry *2 

口 Refresh + Retry < Expire 

LD Expire >= Rrtry * 10 

LD Expire >= 7Days 


一 般 来 说 ， 如 采 DNS RR 资料 变更 情况 频 粽 的 ， 那 么 上 述 的 相关 数值 
可 以 订 定 的 小 


一 些 ， 如 果 DNS RR 是 很 稳定 的 ， 为 了 克 省 市 宽 ， 则 可 以 将 Refresh 
设 定 的 较 大 一 些 。 


0 
CNAME : 设 定 某 主机 名 的 别名 (alias) 


有 时 候 你 不 想 要 针对 某 个 主机 名 设 定 A 的 标志 ， 而 是 想 透 过 另外 一 部 
主机 名 的 A 


来 规范 这 个 新 主机 名 时 ， 可 以 使 用 别名 (CNAME) 的 设 定 喔 ! 举例 来 


说 ， 妃 踪 

www.google.com 时 ， 你 会 发 现 这 样 : 
[root@www ~I]# dig www.google.com 
;; ANSWER SECTION: 


www.google.com. 557697 IN CNAME www.l.google.com. 


www.l.google.com. 298 IN A 72.14.203.99 


意思 是 说 ， 当 你 要 追查 www.google.com 上 时， 请 找 www.1.google.com 


那个 主机 ， 而 那 


个 主机 的 A 就 上 面 第 二 行 的 显示 了 。 乌 哥 常常 开玩笑 的 说 ， 你 知道 久 
哥 的 身份 证 字号 


吗 ? 你 到 户 政事 务 所 去 查 『 乌 哥 」 时 ， 他 会 说 ，『 没 这 个 人 啊 ! 因为 
没有 人 姓 乌 .…J ， 


这 个 了 鸟 哥 4 就 是 别名 (CNAME) ， 而 对 应 到 的 名 称 就 是 『 蔡 某 
某 ， 这 个 获 某 某 才 真 


的 有 身份 字号 的 意思 ~ 一 层 一 层 去 姐 踩 喝 ~ 


这 个 CNAME 有 了 哈 好 人 处 呢 ? 用 A 束 好 了 吧 ? 其 实 还 是 有 好 处 的 ， 举 例 
来 说 ， 如 有 果 你 


有 一 个 IP， 这 个 IP 十 给 很 多 主机 名 使 用 的 。 那 么 当 你 的 他 更改 时 ， 
所 有 的 数据 残 


得 通通 更 新 A 标志 才 行 。 如 果 你 只 有 一 个 主要 主机 名 设 定 A， 而 其 他 
的 标志 使 用 CNAME 


时 ， 那 么 当 IP 更 改 ， 那 你 只 要 修订 一 个 A 的 标志 ， 其 他 的 CNAME 
忠 跟 着 变动 了 ! 处 


理 起 来 比较 容易 啊 ! 
0 
MX : 查询 某 领 域名 的 邮件 服务 帮主 机 名 


MX 是 Mail eXchanger (邮件 交换 ) 的 意思 ， 通 常 你 的 整个 领域 会 设 定 
一 个 MX， 


代表 ， 所 有 寄 给 这 个 领域 的 email 应 该 要 送 到 后 头 的 email server 主机 
名 上 头 才 是 。 


先 看 看 昆 大 的 资料 : 

[root@www ~]# dig -t mx ksu.edu.tw 
net.giang(@hotmail.com 

o 

;; ANSWER SECTION: 

ksu.edu.tw. 3600 IN MX 8 mx01.ksu.edu.tw. 
;; ADDITIONAL SECTION: 
mx01.ksu.edu.tw. 3600 IN A 120.114.100.28 


上 头 的 意思 是 说 ， 当 有 信件 要 送 给 ksu.edu.tw 这 个 领域 时 ， 则 预先 将 
信件 传送 给 

mx01.ksu.edu.tw 这 部 邮件 服务 器 管理 ， 当然 啦 ， 这 部 mx01.ksu.edu.tw 
自然 就 是 昆 

大 自己 管理 的 邮件 服务 器 才 行 ! MX 后 面 接 的 主机 名 通常 就 是 合法 


mail server， 而 想 


要 当 MX 服务 器 ， 束 得 要 有 A 的 标志 才 行 一 所 以 上 表 后 面 束 会 出 现 


mx01.ksu.edu.tw 
的 A 啊 ! 


那么 在 mx01 之 前 的 8 是 什么 意思 ? 由 于 担心 邮件 会 遗失 ， 因 此 较 大 
型 的 企业 会 


有 多 部 这 样 的 上 层 邮 件 服务 凑 来 预 匈 收受 信件 。 那么 到 搬 哪 部 邮件 主 
机 会 移 收 下 呢 ? 


就 以 数字 较 小 的 那 部 优先 嗓 ! 举例 来 说 ， 如 有 果 你 去 查 google.com 的 
MX 标志 ， 融会 


发 现 他 有 5 部 这 样 的 服务 器 呢 
19.4.2 反 解 文件 记录 的 RR 数据 


讲 完了 正解 来 谈 谈 反 解 吧 ! 在 讲 反 解 之 前 ， 先 来 谈 谈 正 解 主机 名 的 追 
踩 方式 。 以 


www.ksu.edu.tw. 来 说 ， 人 整个 网 域 的 概念 来 看 ， 越 右边 出 现 的 名 称 代 表 
网 域 越 大 ! 举 


例 来 说 ，.(root) > tw > edu 以 此 类 推 。 因 此 追 踩 时 ， 是 由 大 范围 找到 小 
范围 ， 最 后 ， 


19.1-4 所 示 那 样 。 


但 是 IP 则 不 一 样 啊 ! 以 昆 大 的 120.114.100.101 来 说 好 了 ， 当 然 是 120 
>114> 


100 > 101 ， 左 边 的 网 域 最 大 ! 与 预 设 的 DNS 从 右边 癌 左 边 碍 询 不 一 
样 啊 ! 那 走 办 ? 


为 了 解决 这 个 问题 ， 所 以 反 解 的 zone 就 必须 要 将 IP 反 过 来 写 ， 而 在 
结尾 时 加 


上 .in-addrarpa. 的 结尾 字样 即 可 。 所 以 ， 当 你 想 要 追踪 反 解 时 ， 那 么 
反 解 的 结果 就 


~ 
[root@www ~]# dig -x 120.114.100.101 
;; ANSWER SECTION: 


101.100.114.120.in-addr.arpa. 3600 IN PTR www.ksu.edu.tw. 


例如 上 述 的 结 采 中 ， 我 们 要 查询 的 主机 名 竟然 变 成 了 IP 反 转 的 模样 ! 
所 以 才 称 为 反 解 


嘛 ! 而 反 解 的 标志 最 重要 的 束 是 PTR 了 |! 
0 
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PTR : 束 是 反 解 啊 ! 所 以 是 查询 了 P 所 对 应 的 主机 名 


进行 反 解 时 ， 要 注意 的 就 是 zone 的 名 称 了 ! 要 将 卫 反 转 过 来 写 ， 并 
且 结 尾 加 


上 .in-addrarpa. 才 行 ! 例如 120.114.100.0/24 这 个 class C IP 网 段 的 反 
解 设 


定 ， 丈 必须 要 写成 : 100.114.120.in-addr.arpa. 这 样 的 zone 名 称 才 行 。 
而 PTR 后 


面 接 的 目 然 束 是 主机 名 哆 | 


在 反 解 最 重要 的 地 方 束 是 : 后 面 的 主机 名 尽量 使 用 完整 FQDN， 亦 即 
加 上 小 数 后 


(.) ! 为 什么 呢 ? 举 100.114.120.in-addrarpa. 为 例 ， 如 果 你 只 是 填写 主 
机 名 ， 并 


填写 领域 名 ， 那 么 当 人 家 退 中 你 的 主机 名 时 ， 你 的 主机 名 会 变 


www.100.114.120.in-addrarpa. 的 怪 模 样 。 这 是 比较 需要 注意 的 地 方 。 
Tips: 

老实 说 ， 鸟 园 讨 论 区 的 一 些 有 经 验 的 朋友 一 直 在 讲 ， 如 果 担 心 会 有 

误解 ， 主 机 名 的 设 定 则 通通 记得 是 要 填写 FQDN 就是 了 ! 这 样 绝对 
` 会 有 问题 ! 人 信 


19.4.3 步骤 一 : DNS 的 环境 规划 : 正解、 反 解 zone 的 预先 定义 案例 说 
明 


现在 假设 乌 哥 的 区 网 环境 中 想 要 设 是 DNS 服务 做 ， 马 哥 的 区 网 原本 规 
划 的 域名 融 


是 centos.vbird， 且 搭配 的 IP 网 段 为 192.168.100.0/24 这 一 段 ， 因 此 主 
要 的 正解 


网 域 为 centos.vbird， 而 反 解 的 网 域 则 为 192.168.100.0/24， 鸟 哥 的 这 
部 DNS 服务 


句 想 要 目 己 找寻 .(root) 而 不 透 过 forwarders 的 辅助 ， 因 此 还 得 要 . 的 
领域 正解 档 。 


综合 起 来 说 ， 乌 哥 需 要 设 定 到 的 档案 孢 有 这 几 个 : 
1.named.conf (主要 配置 文件 ) 


2. named.centos.vbird (主要 的 centos.vbird 的 正解 档 ) 


3. named.192.168.100 (主要 的 192.168.100.0/24 的 反 解 档 ) 
4. named.ca (由 bind 软件 提供 的 . 正解 档 ) 


如 果 我 还 想 要 加 入 其 他 的 领域 ， 例 如 niki.vbird 可 不 可 以 啊 ? 当然 可 以 
啊 ! 整 再 


多 一 个 数据 库 正 解 档 案 即 可 ! 还 有 ， 马 哥 上 头 这 个 设 定货 料 为 内 部 私 
有 的 ， 所 以 你 可 


以 完全 照 着 玩 ! 并 不 会 影响 到 外 部 的 因特网 啦 ! 只 是 ， 因 特 网 也 查 不 
到 你 的 DNS 设 定 


束 是 了 一 反正 是 练功 嘛 ! 人 人 


至 于 数据 库 的 正 、 反 解 对 应 上 ， 依 据 实际 的 测试 环境 ， 规 划 如 下 (你 
请 参考 第 二 章 


罗 321): 

操作 系统 与 了 
主机 名 与 RR 标志 
说 明 


Linux 

master.centos.vbird (NS, A) DNS 设置 是 使 用 
(192.168.100.254) 

www.centos.vbird (A) 

master.centos.vbird 
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linux.centos.vbird (CNAME) 这 个 DNS 服务 器 名 
ftp.centos.vbird (CNAME.) 

称 。 

至 于 这 部 主机 的 故 

forum.centos.vbird (CNAME) 一 个 主要 名 称 是 
www.centos.vbird (MX) 


www.centos.vbird, 


其 

他 的 都 是 CNAME， 
这 样 

未 来 比较 好 修改 。 
同时 

给 予 一 个 MX 的 标志 
给 主要 主机 名 喔 


slave.centos.vbird (NS, A) 未 来 作为 slave DNS 

Linux (192.168.100.10) clientlinux.centos.vbird(A) 的 接班 人 一 
一 部 经 常用 来 工作 的 

WinXP (192.168.1.101) workstation.centos.vbird (A) 工作 机 
一 部 用 来 测试 的 


WinXP (192.168.100.20) winxp.centos.vbird (A) 


Windows XP 

一 部 用 来 测试 的 

Win7 (192.168.100.30) win7.centos.vbird (A) 
Windows 7 


请 特别 留意 啊 ， 一 个 卫 可 以 对 应 给 多 个 主机 和 名， 同样 的 ， 一 个 主机 名 
可 以 给 予 多 个 IP 


喔 ! 主要 是 因为 那 部 www.centos.vbird 的 机 器 未 来 的 用 途 相当 的 多 ， 


乌 哥 布 望 那 一 


部 主机 有 多 个 名 称 ， 以 方便 未 来 额外 的 规划 啊 。 所 以 束 对 该 全 对 应 
了 四 个 主机 名 啊 ! 


Tips: 
在 目 家 设 的 没有 经 过 合法 授权 的 DNS 最 好 不 要 以 Internet 上 面 
已 经 存在 的 领域 名 来 练习 架设 ! 举例 来 说 ,假设 今天 你 以 


192.168.100.254 那 部 机 颖 来 架设 *.yahoo.com 的 领域 ， 因 为 我 


将 192.168.100.254 放置 在 第 一 位 ， 导 致 每 次 的 查询 其 实 
yahoo.com 这 个 领域 的 数据 都 是 直接 由 192.168.100.254 所 提供 ， 
这 很 不 好 一 因为 可 能 会 造成 你 的 客户 端的 不 便 一 

19.4.4 步骤 二 : 主 配 置 文件 /etcnamed.conf 的 设置 


这 个 配置 文件 较 多 的 options 参数 我 们 已 经 在 19.3.3 里 面谈 过 ， 在 我 们 
目前 的 


案例 中 ， 则 必须 要 将 forwarders 相关 功能 取消 ， 并 加 上 禁止 传输 zone 
file 的 参数 


即 可 。 至 于 zone 的 设 定 上 ， 必 须要 包含 上 个 小 市 谈 到 的 三 个 主要 的 
zone 喔 ! 因此 这 


个 档案 的 任务 是 : 
0 options: 规范 DNS 服务 器 的 权限 (可 否 查 询 、forward 与 否 等 ); 
0 zone: 设 定 出 zone (domain name) 以 及 zone file 的 所 在 (包含 


master/slave/hint); 


其 他 ， 设 定 DNS 本 机 管理 接口 以 及 其 相关 的 密 钥 档 案 (key file) 。 
(本 章 


稍 后进 阶 应 用 再 谈 ) 
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那 束 直接 看 一 下 乌 哥 的 范本 吧 : 


[root@www ~]# vim /etc/named.conf 

options { 

directory "/var/named"; 

dump-file "/var/named/data/cache_dump.db"; 

statistics-file "/var/named/data/named_ stats.txt"; 
memstatistics-file "/var/named/data/named_ mem_ stats.txt",; 
allow-query { any; }; 

recursion yes; 

allow-transfer { none; }; // 不 许 别人 进行 zone 转移 


}; 


Zone "." IN { 

type hint; 

file "named.ca"; 

le 

Zone "centos.vbird" IN { // 这 个 zone 的 名 称 

type master; / 是 什么 类 型 

file "named.centos.vbird"; // 档案 放 在 哪里 

}; 

zone "100.168.192.in-addr.arpa" IN { 

type master; 

file "named.192.168.100"; 

}; 

在 options 里 面 仅 新 增 一 个 新 的 参数 ， 束 是 allow-transfer， 意 义 为 : 
[ allow-transfer ( none; }; 

是 否 人 允许 来 目 slave DNS 对 我 的 整个 领域 数据 进行 传送 ? 这 个 设 定 值 
与 

master/slave DNS 服务 需 之 间 的 数据 库 传 送 有 关 。 除 非 你 有 slave DNS 
服务 纵 ， 

否则 这 里 不 要 开放 喔 ! 因此 这 里 我 们 先 设 定 为 none。 

至 于 在 zone 里 面 的 设 定 值 ， 主 要 则 有 底下 几 个 : 

zone 内 的 相关 参数 说 明 


设 定 值 

该 zone 的 类 型 ， 主 要 的 类 型 有 针对 . 的 hint， 以 及 目 己 手动 修改 
type 

数据 库 档 案 的 master， 与 可 目 动 更 新 数据 库 的 slave。 

file 

就 是 zone file 的 档 名 啊 ! (注意 chroot 与 否 哟 ! ) 

反 解 zone 主要 就 是 in-addrarpa 这 个 玩意 儿 ! 请 参考 19.4.2 的 解释 
net.qiang@hotmail.com 

必 

0 


为 何 档 名 都 是 named 开头 呢 ? 这 只 是 个 习惯 而 已 ， 你 也 可 以 依据 目 己 
的 习惯 来 订 定 档 


名 的 。 经 过 上 面 的 说 明 ， 所 以 我 们 会 知道 ，zone file 档 名 都 症 透 过 


named.conf 这 个 
配置 文件 来 规范 的 啊 ! 
19.4.5 步骤 三 : 最 上 层 . Coob 数据 库 档 案 的 设 定 


从 图 19.1-4 可 以 知道 . 的 重要 性 ! 那么 这 个 .在 哪里 呢 ? 事实 上 , 它 
征 由 


INTERNIC 所 管理 维护 的 ， 全 世界 共有 13 部 管理 . 的 DNS 服务 峰 
呢 ! 相关 的 最 新 设 


定 在 : 
LD ftp://rs.internic.net/domain/named .root 


SS 下载 最 狐 的 资料 随 你 便 ， 因 为 我 们 的 CentOS 6.x 内 的 bind 软件 
经 提供 


了 一 个 名 为 named.ca 的 档案 了 ， 乌 哥 是 直接 使 用 系统 提供 的 数据 啦 。 
这 个 档案 的 内 容 


有 扩 像 这 样 : 


[root@www ~]# vim /var/named/named.ca 

. <== 这 里 有 个 小 数 点 518400 IN NS A.ROOT-SERVERS.NET. 
A.ROOT-SERVERS.NET. 3600000 IN A 198.41.0.4 

# 上 面 这 两 行 是 成 对 的 ! 

代表 点 由 A.ROOTSERVERS.NET 管理 ， 

并 附 上 IP 查 

询 

. <== 这 里 有 个 小 数 点 518400 IN NS M.ROOT-SERVERS.NET. 
M.ROOT-SERVERS.NET. 3600000 IN A 202.12.27.33 
M.ROOT-SERVERS.NET. 3600000 IN AAAA 2001:dc3::35 

# 上 面 这 三 行 是 成 对 的 ， 代 表 M 开头 的 服务 器 有 和 A 与 AAAA 的 记录 


相关 的 正解 标志 NS, A, AAAA 意义 ， 请 回 19.4.1 去 查询 ， 这 里 不 再 解 
释 。 比较 特殊 


的 是 ， 由 于 考虑 IPv6 未 来 的 流行 性 ， 因 此 很 多 部 . 服务 右 都 加 上 
AAAA 的 IPv6 功 


能 嗓 。 这 个 档案 的 内 容 你 不 要 修改 啊 ~ 因 为 这 个 内 容 是 Internet 上 面 
通用 的 数据 ， 


一 般 来 说 ， 也 不 会 常 尝 变动 ， 所 以 不 需要 更 动 他 ， 将 他 放置 到 正确 的 
目录 并 改 成 你 所 


指定 的 档 名 即 可 啊 ! 接 下 来 可 以 看 看 其 他 正解 档案 啦 ! 
19.4.6 步 又 四 : 正解 数据 库 档 案 的 设 定 
再 来 开始 正解 档 的 设 定 吧 ! 正解 文件 一 定 要 有 的 RR 标志 有 奈 下 几 个 


喔 : 


0 关于 本 领域 的 基础 设 定 方面 : 例如 快 取 记 忆 时 间 (TTL)、 领 域名 
(ORIGIN) 


等 
村， 
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0 关于 master/slave 的 认证 方面 (SOA); 

0 关于 本 领域 的 领域 名 服务 器 所 在 主机 名 与 IP 对 应 (NS, A); 
0 其 他 正 反 解 相 关 的 资源 记录 (A, MX, CNAME 等 ) 。 


相关 的 RR 意义 请 回 19.4.1 去 查询 。 此 外 ， 这 个 档案 的 特殊 符号 也 得 
跟 大 家 报告 


所 有 设 定数 据 一 定 要 从 行 首 开始 ， 前 面 不 可 有 空格 符 。 若 有 空格 
一 定 从 行 首开 始 符 ， 代 表 延 续 前 一 个 domain 的 意思 一 非常 重要 一 
这 个 符号 代表 zone 的 意思 ! 例如 写 在 named.centos.vbird 中 ， 

@ 代表 centos.vbird.， 如 果 写 在 named.192.168.100 档案 中 ， 

@ 

则 @ 代表 100.168.192.in-addrarpa. 的 意思 (参考 
named.conf 内 的 zone 设 定 ) 

这 个 点 (.) 很 重要 ! 因为 他 代表 一 个 完整 主机 名 (FQDN) 而 不 是 
仅 有 hostname 而 已 。 举 例 来 说 ， 在 named.centos.vbird 当中 


写 www.centos.vbird 则 代表 FQDN 为 www.centos.vbird.@ 
==> www.centos.vbird.centos.vbird. 喔 ! 因此 当然 要 写成 
www.centos.vbird. 才 对 ! 

代表 批注 符号 一 似乎 # 也 是 批注 一 两 个 符号 都 能 使 用 


乌 哥 打算 沿用 系统 提供 的 一 些 配 置 文件 ， 然 后 据 以 修改 成 为 马 哥 目 己 
需要 的 环境 。 整 个 


DNS 是 由 master.centos.vbird 这 部 服务 器 管理 的 ， 而 管理 者 的 email 为 
vbird@www.centos.vbird 这 个 。 整 个 正解 档 最 终 有 点 像 这 样 : 


[root@www ~ |]# vim /var/named/named.centos.vbird 


# 与 整个 领域 相关 性 较 高 的 设 定 包括 NS, A, MX, SOA 等 标志 的 设 定 
处 1 


$TTL 600 

@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080401 3H 15M 1W 1D ) ; 与 上 面 

征 同一 行 

@ IN NS master.centos.vbird. ; DNS 服务 需 

名 称 

master.centos.vbird. IN A 192.168.100.254 ; DNS 服务 
露 JP 

@ IN MX 10 www.centos.vbird. ; 领域 名 的 邮 

件 服务 器 

# 针对 192.168.100.254 这 部 主机 的 所 有 相关 正解 设 定 。 
www.centos.vbird. IN A 192.168.100.254 
linux.centos.vbird. IN CNAME www.centos.vbird. 
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ftp.centos.vbird. IN CNAME www.centos.vbird. 


forum.centos.vbird. IN CNAME www.centos.vbird. 


# 其 他 几 部 主机 的 主机 名 正解 设 定 。 
slave.centos.vbird. IN A 192.168.100.10 
clientlinux.centos.vbird. IN A 192.168.100.10 
workstation.centos.vbird. IN A 192.168.1.101 
winxp.centos.vbird. IN A 192.168.100.20 
win7 IN A 192.168.100.30 ; 这 是 简化 的 写法 ! 


再 次 强调 ， 一 个 正解 的 数据 库 设 定 中 ， 至 少 应 该 要 有 $TTL, SOA, NS 
(与 这 部 NS 主机 


名 的 A)， 乌 哥 将 这 些 基 本 要 用 到 的 标志 写 在 上 表 的 第 一 部 份 。 至 于 
其 他 的 ， 则 是 相关 


的 主机 名 正解 设 定 史 。 如 果 这 些 设 定 值 你 看 不 懂 ， 那 么 ， 可 以 肯定 的 
是 ， 请 回 19.4.1 


去 瞧 瞧 吧 ! 底下 强调 一 下 之 前 没有 讲 到 的 设 定 值 项 目 : 
关于 本 领域 的 一 些 设 定 值 

设 定 值 

说 明 


为 了 简化 每 笔 RR 记录 的 设 定 ， 因 此 我 们 将 TTL 挪 到 最 前 面 统 一 设 
定 。 


$TTL 


因为 乌 哥 的 DNS 服务 器 还 在 测试 中 ， 所 以 TTL 写 了 个 比较 小 的 数 
值 ， 


可 以 存在 对 方 DNS 服务 絮 的 快 取 600 秒 而 已 。 


这 个 设 定 值 可 以 重新 指定 zone 的 定义 。 在 预 设 的 情况 下 ， 这 个 正 反 解 
数据 库 档 案 中 的 zone 是 由 named.conf 所 指定 的 ， 束 是 zone 那个 参 


$ORIGIN 数 的 功能 。 不 过 ， 这 个 zone 是 可 以 改 的 ， 就 是 用 $ORIGIN 
来 修订 就 


征 了 。 通 间 这 个 设 定 值 不 会 用 到 的 


老实 说 ， 初 次 设 定 DNS 的 朋友 大 概 都 会 被 那个 小 数 点 (,) 玩 死 ~ 其 实 
你 不 要 太 紧 张 ， 


屋 妥 用 人 
『 加 上 了 . 表示 这 是 个 完整 的 主机 名 (FEQDN)， 亦 即 是 "hostname + 


domain 


name" 了 ， 如 果 没 有 加 上 . 的话， 表示 该 名 称 仪 为 "hostname" 而 已 ! 
因为 我 们 这 个 


配置 文件 的 zone 是 centos.vbird， 所 以 上 表 的 最 后 一 行 ， 乌 哥 只 写 出 
主机 名 


(win7) ， 因 为 没有 小 数 点 结尾 ， 因 此 完整 的 FQDN 要 加 上 zone， 所 以 
主机 名 win7 代 


表 的 是 : win7.centos.vbird. 喔 ! 

19.4.7 步骤 五 : 反 解 数据 库 档 案 的 设 定 

反 解 跟 正 解 一 样 ， 还 都 需要 TTL, SOA, NS 等 等 的 ， 但 是 相对 于 正解 
里 面 有 A， 反 


解 里 面 则 仪 有 PTR 喔 ! 另外 ， 由 于 反 解 的 zone 名 称 是 很 怪 


ZZ2.yy.XX.in-addr.arpa. 


的 模样 ， 因 此 只 要 在 反 解 里 面 要 用 到 主机 名 时 ， 务必 使 用 FQDN 来 设 
定 啊 ! 更 多 与 反 


解 有 关 的 资料 ， 请 到 19.4.2 去 查阅 喔 ! 至 于 192.168.100.0/24 这 个 网 
域 的 DNS 反 


解 则 成 为 : 


net.giang@hotmail.com 

名 

[root@www ~]#vim /var/named/named.192.168.100 

$TTL 600 

@ IN SOA master.centos.vbird. vbird.www.centos.vbird. ( 
2011080401 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

254 IN PTR master.centos.vbird. ; 将 原本 的 A 改 成 PTR 的 标志 
而 已 

254 IN PTR www.centos.vbird. ; 这 些 是 特定 的 IP 对 应 

10 IN PTR slave.centos.vbird. 

20 IN PTR winxp.centos.vbird. 

30 IN PTR win7.centos.vbird. 

101 IN PTR dhcp101.centos.vbird. ; 可 能 针对 DHCP (第 十 二 章 ) 的 
IP 设 定 

102 IN PTR dhcp102.centos.vbird. 


…( 中 间 省 略 )..… 


200 IN PTR dhcp200.centos.vbird. 


因为 我 们 的 zone 是 100.168.192.in-addr.arpa. 这 一 个 ， 因 此 IP 的 全 名 
部 分 已 经 


含有 192.168.100 了 ， 所 以 在 上 表 当 中 的 最 左边 ， 数 值 只 需要 存在 最 
后 一 个 IP 即 可 。 


因此 254 就 代表 192.168.100.254 咖 ! 此 外 ， 为 了 担心 DHCP 上 自动 分 
配 的 IP 没 有 


对 应 的 主机 名 ， 所 以 这 里 也 附 挂 了 192.168.100.{101~200} 的 主机 名 对 
应 喔 ! 


19.4.8 步骤 六 : DNS 的 启动 、 观 察 与 防火 墙 
DNS 的 启动 也 太 简 单 了 吧 ? 束 直 接 利 用 系统 提供 的 启动 script 即 可 ! 
[root@www ~]# /etc/init.d/named restart <== 也 可 能 是 需要 restart 喔 


[root@www ~]# chkcontfig named on 


但 即使 画面 上 出 现 的 是 『 确 定 4 或 【OKJ ， 都 不 见得 你 的 DNS 服务 
是正 常 的 。 所 以 ， 


请 你 『 务 必 J 查阅 /var/log/messages 的 内 容 才 行 ! 基本 上 ， 内 容 会 有 
点 像 这 样 : 


[root@www ~]# tail -n 30 /var/log/messages | grep named 
named[3511]: starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u 
named -t 

/var/named/chroot 


named[3511]: adjusted limit on open files from 1024 to 1048576 


net.qiang(Ohotmail.com 


named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 
named[3511]: 


named[3511]: 


2011080401 


named[3511]: 


named[3511] 


上 面 的 输出 讯 轧 中 ， 你 得 要 特别 注 


found 1 CPU, using 1 worker thread 

using up to 4096 Sockets 

loading configuration from Vetcnamed.conf 

using default UDP/IPv4 port range: [1024, 65535] 
using default UDP/IPv6 port range: [1024, 65535] 
listening on IPv4 interface lo, 127.0.0.1#53 
listening on IPv4 interface eth0, 192.168.1.100#53 
listening on IPv4 interface eth1, 192.168.100.254#53 
command channel listening on 127.0.0.1#953 
command channel listening on ::1#953 

the working directory is not writable 


zone 100.168.192.in-addr.arpa/IN: loaded serial 


zone centos.vbird/IN: loaded serial 2011080401 


: Tunning 


Ts 


意 有 男 确 线 的 部 分 。 包 括 -t 


chroot_dir 是 设 定 


chroot 目录 的 位 置 ， 而 配置 文件 (configuration) 则 是 /etc/named.conf， 


最 重要 


的 是 你 的 所 有 的 zone (hint 类 型 的 . 除外) 的 序号 (serial) 号 码 要 跟 你 的 
数据 库 


内 容 一 致 才 行 ! 而 且 不 能 够 有 出 现 『 设 定 的 档 名 :数字 4 的 内 容 ， 否则 
肯定 吏 是 配置 文 


件 有 问题 一 上 面 的 讯 轧 看 起 来 还 算 OK 啦 ! 


在 上 述 的 输出 数据 当中 因为 信息 太 长 了 ， 所 以 乌 哥 将 登录 的 时 间 与 主 
机 的 字段 拿 挥 


了 ! 上 面 是 顺利 局 动 时 的 状况 ， 如 采 出 现 问题 怎 办 ? 通常 出 现 问题 的 
原因 走 因 为 : 


0 语法 设 定 错误 : 


这 个 问题 好 解决 ， 因 为 在 /var/log/messages 里 面 有 详细 的 说 明 ， 按 照 
内 容 去 


修订 即 可 ; 


0 逻辑 设 定 错误 : 

这 个 束 比 较 困 扰 了 ! 为 什么 呢 ? 因为 他 主要 发 生 在 你 设 定 DNS 主机 的 
时 候 ， 

虑 不 周 所 产生 的 问题 ! 例如 起 记 加 上 (.)， 系 统 不 会 显示 错误 讯 足 ,但 
是 却 会 

造成 得 询 的 误 判 ， 而 MX 设 定 的 主机 名 错误 ， 也 不 会 出 现 有 问题 的 讯 


思 ， 但 是 


mail server 束 是 会 收 不 到 信 等 等 ~ 这 些 错误 都 需要 很 详细 的 DNS client 


的 测 
试 才能 知道 问题 的 所 在 。 


我 们 这 里 先 束 语 法 设 定 错误 方面 进行 介绍 ， 至 于 逻辑 设 定 的 问题 ， 那 
个 束 需 要 多 多 


的 进行 测试 才能 知道 了 一 克 下 的 错误 讯 姑 都 会 记录 在 
/Var/log/messages 里 面 喔 ! 


named: /etc/named.conf:8: missing '; before 小 


# 注意 到 上 面 提 到 的 文件 名 与 数字 吗 ? 说 明 的 是 /etcnamed.conf 的 第 8 


一 


人 ， 

# 至 于 错误 是 因为 缺少 分 号 (;) 所 致 ! 去 修正 一 下 即 可 。 
net.qiang(Ohotmail.com 

名 

dns_rdata_fromtext: named.centos.vbird:4: near eol: unexpected end of 
input 


Zone centos.vbird/IN: loading master file named.centos.vbird: unexpected 
end of input 
default/centos.vbird/IN: unexpected end of input 


# 指 的 是 named.centos.vbird 的 第 4 行 有 问题 ,察看 档案 内 容 第 4 行 是 


SOA 的 项 目 ， 
# 通常 是 SOA 那 五 个 数字 没有 完全 ! 赶紧 去 修订 一 下 即 可 啊 ! 
dns_rdata_fromtext: named.centos.vbird:7: near Www.centos.vbird.': 


not a valid number 


# 说 明 第 7 行 在 www.centos.vbird 附近 需要 有 一 个 合法 的 数字 ! 刚好 是 


MX ， 
# 所 以 ， 赶 芭 加 上 一 个 合法 的 数字 ， 去 瞧 瞧 改 改 即 可 ! 


通 疝 最 大 的 问题 十 ... 打 绒 子 ! 所 以 ， 务必 要 慢 慢 打字 ， 慢 慢 察 看 清 
楚 ， 尤 其 是 登录 文 


件 内 的 信息 喔 ! 都 处 理 完毕 之 后 ， 也 能 够 透 过 netstat 去 查 到 port 53 
有 在 监听 ， 


再 来 就 是 要 放行 人 家 的 查询 了 ! 所 以 ， 又 得 要 修改 防火 墙 喝 ! 假设 你 
还 是 安装 岛 可 的 


防火 墙 脚本 ， 那 么 接 下 来 吏 旦 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 找到 如 下 两 行 ， 将 批注 拿 掉 即 可 ! 

iptables -A INPUT -p UDP -i $EXTIF --dport 53 --sport 1024:65534 -j 
ACCEPT 

iptables -A INPUT -p TCP -i $EXTIF --dport 53 --sport 1024:65534 -j 
ACCEPT 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 

19.4.9 步骤 七 : 测试 与 数据 库 更 新 


在 上 面 的 设 定 都 搞定 ， 并 且 启 动 之 后 ， 你 的 DNS 服务 器 应 该 是 已 经 受 
当 的 在 运作 


了 。 那 你 怎么 知道 你 的 设 定 是 否 合理 ? 当然 要 作 测 试 喔 ! 测试 有 两 种 
方式 ， 一 种 是 大 


由 client 端的 查询 功能 ， 目的 是 检验 你 的 数据 库 设 定 有 无 错误 ; 另外 
你 也 可 以 连 上 


奈 下 这 个 网 站 : 
D http:/thednsreport.com/ 


这 个 网 站 可 以 帮 你 检验 你 的 DNS 服务 器 的 主要 设 定 是 否 有 问题 ! 不 
过 ， 这 个 网 站 


的 检验 主要 是 以 合法 授权 的 zone 为 主 ， 我 们 目 己 乱 捅 的 DNS 是 没有 
办 法 检查 的 啦 ! 


真 古 可 惜 一 好 了 ， 束 让 我 们 来 测试 测试 结 采 吧 ! 首先 ， 得 将 DNS 服 
务 絮 目 己 的 


/etc/resolv.conf 改 成 如 下 模样 较 住 : 


net.qiang(Ohotmail.com 
[root@www ~]# vim /etc/resolv.conf 
nameserver 192.168.100.254 <== 自 己 的 卫 一 定 要 最 早出 现 ! 


nameserver 168.95.1.1 


接 下 来 ， 就 让 我 们 针对 上 面 较 重要 的 正 、 反 人 解 信息 进行 检测 吧 ! 同样 
的 ， 乌 哥 也 仅 列 出 


案 的 部 分 而 已 ! 
#1. 检查 master.centos.vbird 以 及 www.centos.vbird 的 A 标志 
[root@www ~1# dig master.centos.vbird 
;; ANSWER SECTION: 


master.centos.vbird. 600 IN A 192.168.100.254 


[root@www ~]# dig www.centos.vbird 

;; ANSWER SECTION: 

www.centos.vbird. 600 IN A 192.168.100.254 

# 2. 检查 ftp.centos.vbird 与 winxp 等 等 的 A 标志 
[root@www ~]# dig ftp.centos.vbird 

;; ANSWER SECTION: 

ftp.centos.vbird. 600 IN CNAME www.centos.vbird. 
www.centos.vbird. 600 IN A 192.168.100.254 
[root@www ~]# dig winxp.centos.vbird 

;; ANSWER SECTION: 

winxp.centos.vbird. 600 IN A 192.168.100.20 

# 3. 检查 centos.vbird 这 个 zone 的 MX 
[root@www ~]# dig -t mx centos.vbird 

;; ANSWER SECTION: 

centos.vbird. 600 IN MX 10 

www.centos.vbird. 

#4. 检查 192.168.100.254 及 192.168.100.10 的 反 解 
[root@www ~]# dig -x 192.168.100.254 

;; ANSWER SECTION: 


254.100.168.192.in-addr.arpa. 600 IN PTR www.centos.vbird. 


254.100.168.192.in-addr.arpa. 600 IN PTR master.centos.vbird. 
[root@www ~]# dig -x 192.168.100.10 

;; ANSWER SECTION: 

10.100.168.192.in-addr.arpa. 600 IN PTR slave.centos.vbird. 


测试 要 成 功 才 行 哟 ! 什么 是 成 功 呢 ? 除了 要 真 的 有 数据 显示 之 外 ， 该 
资料 是 否 正 是 你 要 


的 模样 ? 那 才 是 顺利 成 功 。 如 采 有 出 现 错误 的 信息 ， 例 如 找 不 到 


www.centos.vbird 之 


类 的 ， 那 就 失败 了 ， 得 要 找 出 问题 才 行 。 


net.giang(@hotmail.com 


0 
6 


男 外 ， 如 果 你 的 数据 库 需 要 更 新 时 ， 应 该 做 哪些 举动 啊 ? 举例 来 说 ， 
你 的 某 个 主机 


IP 忆 0 更 ， 也 可 能 是 新 增 某 个 主机 名 与 IP 的 对 应 呢 ! 很 简 
单 啦 ， 通 


样 做 整 好 了 : 


1. 先 针 对 要 更 改 的 那个 zone 的 数据 库 档 案 去 做 更 新 ， 就 是 加 入 RR 的 
标志 即 


日 
十 |! 


2. 更 改 该 zone file 的 序号 (Serial) ， 就 是 那个 SOA 的 第 三 个 参数 (第 


个 数字 )， 因 为 这 个 数字 会 影响 到 master/slave 的 判定 更 新 与 否 喔 ! 
3. 重新 启动 named ， 或 者 是 让 named 重新 读 取 配置 文件 即 可 。 


就 这 么 简单 啊 ! 不 过 大 家 常常 会 瑟 记 第 二 个 步骤 啦 ! 就 是 将 序号 变 大 
啊 ! 如 有 果 序 号 


没有 变 大 ， 那 master/slave 的 数据 库 可 能 不 会 主动 的 更 新 ， 会 造成 一 些 
町 扰 喔 ! 


19.5 协同 工作 的 DNS: ”Slave DNS 及 子 域 授权 设 定 


我 们 在 本 章 一 开始 就 曾 谈 过 ，DNS 大 概 是 未 来 最 重要 的 网 络 服务 之 
一 ， 因 为 所 有 的 


主机 名 需求 都 得 要 DNS 提供 才 行 。 因 此 ，ISP 在 提供 domain name 注 
册 时 ， 束 强调 


人 两 部 以 上 的 DNS 服务 器 才 行 。 而 为 了 简化 DNS 管理 人 员 的 负 
担 ， 使 用 


Master/Slave DNS 架构 的 情况 会 比较 好 ! 为 什么 呢 ? 让 我 们 再 回忆 一 
下 Slave DNS 的 


特色: 


0 为 了 不 间断 的 提供 DNS 服务 ， 你 的 领域 至 少 需要 有 两 部 DNS 服务 
如 来 提供 


查询 的 功能 ; 


承 上 ， 这 几 部 DNS 服务 顺应 该 要 分 散在 两 个 以 上 的 不 同 卫 网 域 才 
下 


D0 为 方便 管理 ， 通 常 除了 一 部 主要 Master DNS 之 外 ， 其 他 的 DNS 会 
使 用 


slave 的 模式 ; 


0U slave DNS 服务 器 本 吴 并 没有 数据 库 ， 他 的 数据 库 是 由 master DNS 
所 提供 


的 ; 
D masterslave DNS 必需 要 可 以 相互 传输 zone file 的 相关 信息 才 行 ， 这 


部 
份 需 要 /etcnamed.conf 之 设 定 辅助 。 


除 此 之 外 ， 如 有 果 你 有 朋友 或 者 是 学 生 想 要 跟 你 要 一 个 子 域 ， 那 又 该 如 


何 设 定 另 一 部 
DNS 服务 器 呢 ? 就 让 我 们 依 序 来 谈 谈 咖 ~ 
19.5.1 master DNS 权限 的 开放 


我 们 使 用 19.4.3 的 和 案例， 继续 来 染 设 一 部 文 持 该 案例 的 slave DNS 
吧 ! 基本 的 


假设 为 : 


net.qiang(Ohotmail.com 

DD 提供 slave DNS 服务 器 进行 zone transfer 的 服务 絮 为 
master.centos.vbird 

centos.vbird 及 100.168.192.in-addr.arpa 两 个 zone 都 提供 给 slave 
DNS 使 用 

吕 master.centos.vbird 的 named 仅 提 供给 slave.centos.vbird 这 部 主机 
进行 zone transfer 


0 Slave DNS server 架设 在 192.168.100.10 这 部 服务 右上 面 (所 以 zone 


file 要 修订 ) 


如 上 所 示 ， 我 们 的 master.centos.vbird 这 部 服务 器 除了 named.conf 需要 
调整 


之 外 ， 两 个 zone file 也 都 需要 调整 ! 在 named.conf 当中 ， 需 要 设 定 哪 
个 IP 可 以 


对 我 的 zone 进行 传输 (allow-transfer)， 而 在 zone file 当中 ， 束 是 各 加 
入 一 笔 NS 


的 记录 即 可 ! 增加 的 部 分 如 下 所 示 : 

#1. 修订 named.conf， 主 要 修改 zone 参数 内 的 allow-transfer 项 目 
[root@www ~]# vim /etc/named.conf 

.…. 前 面 省 略 .…. 

Zone "centos.vbird" IN { 

type master; 

file "named.centos.vbird"; 

allow-transfer { 192.168.100.10; }; V 在 这 里 新 增 slave 的 
IP 

i 

Zone "100.168.192.in-addr.arpa" IN { 

type master; 

file "named.192.168.100"; 


allow-transfer { 192.168.100.10: }: // 在 这 里 新 增 slave 的 


IP 
}; 


在 上 头 所 列 示 的 那 两 个 数据 库 档 案 当 中 ， 你 必须 要 新 增 所 需要 的 NS 
标志 才 行 ! NS 对 


应 的 主机 名 为 slave.centos.vbird， IP 则 是 192.168.100.10 哟 ! 结果 如 
下 


# 2. 在 zone file 里 面 新 增 NS 标志 ， 要 注意 需要 有 A( 正 解 ) 及 PTR( 反 
解 ) 的 


设 定 


[root@www ~]# vim /var/named/named.centos.vbird 
$TTL 600 

@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080402 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

@ IN NS slave.centos.vbird. 
master.centos.vbird. IN A 192.168.100.254 
net.qiang(Ohotmail.com 

名 

slave.centos.vbird. IN A 192.168.100.10 


@ IN MX 10 www.centos.vbird. 


.…( 底 下 省 略 ).…. 

[root@www ~]# vim /var/named/named.192.168.100 
$TTL 600 

@ IN SOA master.centos.vbird. vbird.www.centos.vbird. ( 
2011080402 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

@ IN NS slave.centos.vbird. 

254 IN PTR master.centos.vbird. 

10 IN PTR slave.centos.vbird. 

.…( 底 下 省 略 ).… 


# 要 特别 注意 一 件 事 ， 那 整 是 ， 你 的 zone file 内 的 序号 要 增加 ! 乌 哥 
测试 


日 期 是 8/4， 


# 第 2 次 进行 ， 所 以 序号 就 以 该 天 的 日 期 为 准 来 设计 的 ! 最 后 记得 


restart 

= 让 

[root@www ~ |]# /etc/init.d/named restart 

[root@www ~]# tail -n 30 /var/log/messages | grep named 
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -u named -t 
/var/named/chroot 


…( 中 间 省 略 )..… 


Zone 100.168.192.in-addr.arpa/IN: loaded serial 2011080402 
zone centos.vbird/IN: loaded serial 2011080402 

zone 100.168.192.in-addr.arpa/IN: sending notifies (serial 
2011080402) 

zone centos.vbird/IN: sending notifies (serial 2011080402) 


反正 重新 启动 过 named 后 ， 直 觉 记 得 就 是 要 查阅 messages 登录 信息 就 
对 了 。 从 上 表 


的 输出 来 看 ， 会 多 一 个 sending notifies (传送 注意 事项 ) 关键 词 的 数 
据 ， 那 束 是 提 


醒 slave DNS 来 比 对 序号 大 小 了 ! 所 以 ， 你 说 ， 序 号 有 没有 很 重要 
呢 ? 当然 很 重要 啊 ! 


连 登 录 讯 尽 都 会 告知 序号 的 大 小 哩 ! 这 样 master DNS 就 设 定 妥当 鹃 | 
接 下 来 玩 玩 


Slave 的 设 定 吧 ! 
19.5.2 Slave DNS 的 设 定 与 数据 库 权 限 问 题 


既然 Slave DNS 也 是 DNS 服务 器 嘛 ! 所 以 ， 当 然 也 是 需要 安装 bind， 
bind-chroot 


等 等 的 软件 ! 这 部 份 回去 19.3.1 里 面 瞧 瞧 即 可 ， 上 反正 记得 使 用 yum 安 
装 就 对 了 。 接 


下 来 得 要 设 定 named.conf 吧 ? 而 既然 Master/Slave 的 数据 库 是 相同 
的 ， 所 以 ， 理 论 


上 ，named.conf 内 容 丈 是 大 同 小 异 嗓 ~ 唯一 要 注意 的 束 症 zone type 
类 型 的 差异 ， 
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以 及 宣告 master 在 哪里 就 是 了 。 至 于 zone filename 部 分 ， 由 于 zone 
file 都 是 


从 master 取得 的 ， 透 过 named 这 个 程序 来 主动 建立 起 需要 的 zone 
file， 因 此 这 个 


Zone file 放置 的 目录 权限 束 很 重要 ! 让 我 们 直接 来 处 理 看 看 : 


# 1. 准备 named.conf 的 内 容 : 


[root@clientlinux ~]# vim /etc/named.conf 

.…( 前 面 的 部 分 完全 与 master.centos.vbird 相同 ， 故 省 略 ).…. 
zone "centos.vbird" IN { 

type slave; 

file "slaves/named.centos.vbird"; 

masters { 192.168.100.254; }:; 

}; 

Zone "100.168.192.in-addr.arpa" IN { 

type slave; 

file "slaves/named.192.168.100"; 

masters { 192.168.100.254; }:; 

}; 

# 2. 检查 zone file 预计 建立 的 目录 权限 是 否 正确 ! 
压 下 目录 为 系统 默认 值 : 


[root@clientlinux ~]#] -d /var/named/slaves 
drwxrwx---. 2 named named 4096 2011-06-25 11:48 /var/named/slaves 


# 注 意 权 限 、 使 用 者 以 及 群 组 三 个 字段 的 数据 ! 需要 与 named 这 个 用 
户 及 和 群 


组 有 关 ! 

[root@clientlinux ~]# 1] -dZ /var/named/slaves 

drwxrwx---. named named system_u:object _r:named_cache t:s0 
/var/named/slaves 

# 也 不 要 忘记 与 SELinux 有 关 的 事情 ! 


为 了 方便 使 用 者 设 定 ，CentOS 预 设 在 /var/named/slaves/ 处 理 好 了 相关 
权限 一 所 以 


你 可 以 轻松 的 处 理 权限 问题 ~~ 我 们 就 建议 你 的 slave zone file 放置 在 该 
目录 下 ! 所 


以 上 表 当 中 的 fie 参数 才 会 这 么 写 一 此 外 ， 那 个 masters 结尾 有 个 s 
喔 ! 这 里 最 容 


易 写 错 一 那么 要 不 要 处 理 zone file 呢 ? 除了 named.ca 这 个 .需要 主动 
存在 之 外 ， 


另外 两 个 type slave 的 数据 库 档 案 ， 当 然 不 必 存 在 啊 ! 因为 会 从 master 
处 取得 嘛 ! 


接 下 来 ， 束 让 我 们 来 启动 named 并 进行 观察 吧 ! 


[root@clientlinux ~]# /etc/init.d/named start 


[root@clientlinux ~]# chkconfig named on 


[root@clientlinux ~]#tail -n 30 /var/log/messages | grep named 
starting BIND 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 -unamed -t 
/var/named/chroot 

loading configuration from /etc/named.conf' 

…( 中 间 省 上 略 )..… 
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名 

running 

Zone 100.168.192.in-addr.arpa/IN: Transfer started. 

Zone 100.168.192.in-addr.arpa/IN: transferred serial 2011080402 
Zone centos.vbird/IN: Transfer started. 


zone centos.vbird/IN: transferred serial 2011080402 <== 注 意 序 号 正确 


个 


# 你 会 看 到 如 上 的 讯 电 ， 重 点 是 还 有 告知 序号 喔 ! 非常 重要 ! 
[root@clientlinux ~]# 1] /var/named/slaves 

-rTW-I--T--. 1 named named 3707 2011-08-05 14:12 named.192.168.100 
-IrW-I--T--. 1 named named 605 2011-08-05 14:12 named.centos.vbird 
# 这 两 个 zone file 会 主动 被 建立 起 来 呢 ! 

[root@clientlinux ~]# dig master.centos.vbird (@127.0.0.1 


[root@clientlinux ~]# dig -x 192.168.100.254 @127.0.0.1 


# 上 述 两 个 检测 的 指令 如 有 果 是 正确 的 显示 出 A 与 PTR 的 话 ， 那 融 完 成 


你 瞧 ! 如 此 一 来 你 的 zone file 就 会 主动 的 被 建立 起 来 喔 ! 未 来 如 果 你 
的 master DNS 


要 更 新 数据 库 时 ， 只 要 修改 过 序号 ， 并 重新 局 动 named 后 ， 这 部 
slave DNS 就 会 跟 


着 更 新 啦 ! 啊 ! 真是 『 了 福气 啦 ! 2! ! 不 过 ， 如 果 你 发 现 到 启动 
slave DNS 时 ， 你 的 


登录 信息 竞 然 是 这 样 : 


zone centos.vbird/IN: Transfer started. 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: connected using 
192.168.100.10#58187 

dumping master file: tmp-albYfCd3i3: open: permission denied 
transfer of 'centos.vbird/IN' from 192.168.100.254#53: failed while 
receiving 

responses: permission denied 

transfer of 'centos.vbird/IN' from 192.168.100.254#53: end of transfer 


如 果 出 现 类 似 这 样 的 讯 奶 时 ， 不 必 怀 疑 啦 ! 肯定 是 权限 错误 啦 ! 请 再 
次 检查 你 的 数据 库 


档案 所 放置 的 目录 权限 是 否 可 以 让 named 写 入 啊 ! 处 理 处 理 就 好 了 | 
现在 ， 你 的 DNS 会 


ee 过 仍然 要 注意 的 是 ， 
网 络 查 i 


centos.vbird 时 ，master 与 slave 的 地 位 是 相同 的 ， 并 不 是 master 挂 点 
才 使 用 


slave 来 查询 喔 ! 所 以 ， 这 两 部 服务 器 的 相同 domain 的 数据 库 内 容 要 
完全 一 致 才 行 ! 


19.5.3 建 置 子 域 DNS 服务 器 : 子 域 授权 课题 
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除了 Master/Slave 需要 协同 DNS 服务 器 共同 提供 服务 之 外 ，DNS 之 间 
如 果 有 上 


层 、 下 属 的 关系 时 ， 该 如 何 设 定 ? 亦 即 ， 假 设 我 的 网 域 很 大 ， 我 只 想 
要 负责 上 层 的 DNS 


而 已 ， 下 层 希望 直接 交 给 各 单位 的 负责 人 来 负责 ， 要 怎么 设 定 呢 ? 举 
个 例子 来 说 ， 以 


成 大 为 例 ， 成 大 计 中 仅 管理 各 个 系 所 的 DNS 服务 做 IP 而 已 ， 由 于 各 
个 系 所 的 主机 数 


量 可 能 很 大 ， 如 果 每 个 人 都 要 请 计 中 来 设 定 ， 那 么 管理 员 可 能 会 ; 
掉 ， 而 且 在 实际 设 


村 下 也 太太 大 性 化 3 


所 以 嚼 ， 计 中 就 将 各 个 subdomain ( 子 域 ) 的 管理 权 交 给 各 个 系 所 的 主 
机 管理 员 去 


管理 ， 如 此 一 来 ， 各 系 所 的 设 定 上 面 会 比较 灵活 ， 且 上 层 DNS 服务 
右 管 理 册 也 不 用 太 


碾 烦 呐 ! 
好 了 ， 那 么 如 何 开放 子 域 授 权 呢 ?我 们 以 刚刚 在 master 上 面 建立 的 


济 


centos.vbird 这 个 zone 为 例 ， 假设 今天 你 是 个 ISP ， 有 个 人 想 要 跟 尹 
申请 domain 


name ， 他 要 的 domain 是 『 niki.centos.vbird 4 ， 那 你 该 如 何 处 理 ? 
0 上 层 DNS 服务 器 : 亦 即 是 master.centos.vbird 这 一 部 ， 只 要 在 


centos.vbird 那个 zone file 内 ， 增 加 指定 NS 并 指 回 下 层 DNS 的 主机 名 


IP (A) 即 可 ， 而 zone file 的 序号 也 要 增加 才 行 ; 


0 bs DNS 服务 器: 申请 的 领域 名 必须 是 上 层 DNS 所 可 以 提供 的 名 
称 ， 并 告 


知 上 层 DNS 管理 员 ， 我 们 这 个 zone 所 需 指 定 的 DNS 主机 名 与 对 应 的 
IP 即 可 。 


然后 就 开始 设 定 自己 的 zone 与 zone file 相关 数据 。 


假设 我 们 管理 niki.centos.vbird 的 服务 器 主机 名 为 dns.niki.centos.vbird 


而 这 部 主机 的 IP 为 192.168.100.200， 那 接 下 来 就 让 我 们 实际 来 设 定 
吧 ! 


回 
上 层 DNS 服务 器 : 只 需 新 增 zone fle 的 NS 与 A 即 可 


上 层 DNS 的 处 理 真 古人 简单 到 爆炸 ! 我 们 只 要 修改 master DNS 


(www.centos.vbird 


那 一 部 ) 里 面 的 named.centos.vbird 这 个 正解 档案 即 可 。slave DNS 不 用 
修改 ， 是 因 


为 他 会 目 动 更 新 嘛 ! 新 增 如 下 的 数据 即 可 : 


[root@www ~]# vim /var/named/named.centos.vbird 
@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080501 3H 15M 1W 1D ) 


# 上 面 的 SOA 部 分 序号 加 大 ， 克 下 新 增 这 两 行 即 可 (原本 的 数据 都 保 


留 不 

动 )! 

niki.centos.vbird. IN NS dns.niki.centos.Vbird. 

dns.niki.centos.vbird. IN A 192.168.100.200 
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[root@www ~ |# /etc/init.d/named restart 

[root@www ~]# tail -n 30 /var/log/messages | grep named 

Aug 5 14:22:36 www named[9564]: zone centos.vbird/IN: loaded serial 
2011080501 


# 登录 档 的 关键 是 上 面 的 序号 部 分 一 必须 是 我 们 填写 的 新 的 序号 才 
对 ! 


[root@www ~]# dig dns.niki.centos.vbird (@127.0.0.1 
# 你 会 发 现 是 错误 的 ! 找 不 到 A 喔 ! 
上 层 DNS 的 设 定 非常 和 兴 单 ! 只 要 修改 zone file 即 可 一 不 过 ， 由 于 


zone file 指定 


的 是 NS 的 查询 权 功 能 ， 因 此， 最 后 那个 指令 在 dig 
dns.niki.centos.vbird 时 ， 却 


会 找 不 到 A 喔 ! 那 是 正常 的 一 因为 192.168.100.200 尚未 设 定好 
niki.centos.vbird 


这 个 领域 嘛 ! 所 以 追踪 的 结果 并 没有 发 现在 192.168.100.200 有 


niki.centos.vbird 


的 zone 啊 ! 所 以 当然 找 不 到 。 此 时 数据 库 的 管理 权 在 
192.168.100.200 上 啦 ! 这 样 


可 以 理解 吗 ? 再 来 处 理 下 层 DNS 吧 ! 

0 

下 层 DNS 服务 器 : 需要 有 完整 的 zone 相关 设 定 
| 


下 层 的 DNS 设 定 就 与 19.4 的 详细 内 容 一 样 了 ! 所 以 在 这 里 我 们 仅 列 
出 重要 的 项 


目 : 

# 1. 修改 named.conf ， 增 加 zone 的 参数 ， 假 设 档 名 为 
named.niki.centos.vbird 

[root@niki ~]# vim /etc/named.conf 

…( 前 面 省 上 略 )..… 

zone "niki.centos.vbird" IN { 

type master; 

file "named.niki.centos.vbird"; 


上 


# 2. 建立 named.niki.centos.vbird 

[root(Oniki ~]# vim /var/amed/named.niki.centos.vbird 
$TTL 600 

@ IN SOA dns.niki.centos.vbird. root.niki.centos.vbird. ( 
2011080501 3H 15M 1W 1D ) 

@ IN NS dns.niki.centos.vbird. 

dns IN A 192.168.100.200 

www IN A 192.168.100.200 

@ IN MX 10 www.niki.centos.vbird. 

@ IN A 192.168.100.200 
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避 

# 为 了 简化 整个 版 面 ， 所 以 乌 哥 都 使 用 hosmame 而 非 FQDN 1! 请 见 


过 ! 


# 3. 局 动 并 观察 相关 登录 信息 


[root(Oniki ~]# /etc/init.d/named restart 

[root@niki ~]# tail -n 30 /var/log/messages | grep named 
.…( 表 面 省 略 ).…. 

Zone niki.centos.vbird/IN: loaded serial 2011080501 


.…( 底 下 省 略 ).…. 


# 同时 ， 记 得 处 理 一 下 防火 墙 的 放行 问题 ! 否则 测试 会 失败 ! |! 
[root@niki ~]# dig www.niki.centos.vbird @192.168.100.254 

# 上 述 的 动作 必须 要 有 响应 才 行 ! 否则 就 会 出 问题 ~ 
19.5.4 依 不 同 接口 给 予 不 同 的 DNS 主机 名 : ”view 功能 的 应 用 
想象 一 个 环境 ， 以 我 们 目前 的 局 域 网 络 服务 器 来 说 ， 我 的 


master.centos.vbird 有 


两 个 界面 ， 分 别 是 192.168.100.254/24 (对 内 ) 及 192.168.1.100/24 (对 
2 - 姥 当 


我 外 边 的 用 户 想 要 了 解 到 master.centos.vbird 这 部 服务 器 的 IP 时 ， 取 
得 的 竟然 是 


192.168.100.254， 因 此 还 得 要 透 过 NAT 才能 联机 到 该 接口 ， 但 明明 
192.168.100.254 


与 外 部 的 192.168.1.100 是 同一 台 服 务 器 主机 嘛 ! 王 嘛 还 得 要 经 过 NAT 
转 到 内 部 接口 


呢 ? 有 没有 办 法 让 外 部 的 查询 找到 master.centos.vbird 是 192.168.1.100 
而 内 部 


的 找到 则 回应 192.168.100.254 呢 ? 可 以 的 ! 那 就 透 过 view 的 功能 ! 


2 view 要 怎么 处 理 呢 ? 其 实 束 是 让 不 同 来 源 的 用 户 ， 能 够 取得 他 们 
己 的 


ek 举例 来 说 ， 当 用 户 来 目 10.0.0.1 时 ， 这 个 来 源 不 可 
是 内 部 


(192.168.100.0/24) ， 因 此 这 个 来 源 就 会 使 用 外 部 的 zone file 内 容 来 响 
应 。 因此 ， 


我 们 融 得 要 准备 同一 个 zone 需要 两 个 不 同 的 设 定 ， 再 将 个 别 的 设 定 市 
入 目 己 的 客户 站 


查询 当中 。 

现在 我 们 针对 这 个 概念 ， 对 于 乌 哥 的 区 网 设 定 view 的 原则 是 这 样 的 : 
建立 一 个 名 为 intranet 的 名 字 ， 这 个 名 字 代表 客户 端 为 
192.168.100.0/24 的 来 源 ; 

上 0 建立 一 个 名 为 internet 的 名 字 ， 这 个 名 字 代表 客户 端 为 非 
192.168.100.0/24 的 其 他 来 源 

0 intranet 使 用 的 zone file 为 本 草 前 面 各 小 节 所 建立 的 zone filename， 
i 使 用 的 zone flename 则 在 原本 的 档 名 后 面 累加 inter 的 扩展 


并 修订 各 标志 的 结 


再 次 强调 ， 最 终 的 结果 当中 ， 从 内 网 查 到 的 www.centos.vbird IP 应 该 
是 


192.168.100.254， 而 只 要 不 是 乌 哥 内 网 来 源 的 客户 端 ， 查 到 的 


www.centos.vbird IP 

应 该 是 192.168.1.100 才 对 ! 那 束 让 我 们 来 实际 设 定 此 一 项 目 吧 ! 
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[root@www ~]# vim /etc/named.conf 

options { 


directory "/var/named"; 


dump-file "/var/named/data/cache_dump.db"; 

statistics-file "/var/named/data/named_ stats.txt"; 
memstatistics-file "/var/named/data/named_ mem_ stats.txt",; 
allow-query { any; }; 

recursion yes; 

allow-transfer { none; }; 

}; 

acl intranet { 192.168.100.0/24; }; <== 针 对 intranet 给 予 的 来 
源 IP 指定 

acl internet { ! 192.168.100.0/24; any; }; <== 加 上 惊叹 号 (!) 代表 反 
向 选择 的 意思 

view "lan" { <== 只 是 一 个 名 字 ， 代 表 的 是 内 

网 

match-clients { "intranet"; }; <== 吻 合 这 个 来 源 的 才 使 用 底下 
的 zone 

Zone "." IN { 

type hint; 

file "named.ca"; 

}; 


Zone "centos.vbird" IN { 


type master; 

file "named.centos.vbird"; 
allow-transfer { 192.168.100.10; }; 
le 

Zone "100.168.192.in-addr.arpa" IN { 
type master; 

file "named.192.168.100"; 
allow-transfer { 192.168.100.10; }; 
a 

}; 


view "wan" { <== 同 样 ， 只 是 个 名 字 而 已 ! 


match-clients { "internet"; } <== 代 表 的 则 是 外 网 的 internet 
来 源 

Zone "." IN { 

type hint; 

file "named.ca"; 

}; 
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Zone "centos.vbird" IN { 


type master; 


file "named.centos.vbird.inter"; <== 档 名 必须 与 原 有 的 
不 同 ! 

所 

/ 外 网 因为 没有 使 用 到 内 网 的 IP， 

所 以 IP 反 解 部 分 可 以 不 写 于 此 


0 
以 上 


named.centos.vbird.inter 吧 ! 

[root@www ~]# cd /var/named 

[root@www named]# cp -a named.centos.vbird named.centos.vbird.inter 
[rootOwww named]# vim named.centos.vbird.inter 
$TTL 600 

@ IN SOA master.centos.vbird. 
vbird.www.centos.vbird. ( 

2011080503 3H 15M 1W 1D ) 

@ IN NS master.centos.vbird. 

master.centos.vbird. IN A 192.168.1.100 

@ IN MX 10 www.centos.vbird. 


www.centos.vbird. IN A 192.168.1.100 


linux.centos.vbird. IN CNAME www.centos.Vbird. 
ftp.centos.vbird. IN CNAME www.centos.vbird. 
forum.centos.vbird. IN CNAME www.centos.vbird. 
workstation.centos.vbird. IN A 192.168.1.101 

[root@www named]# /etc/init.d/named restart 

[root@www named]# tail -n 30 /var/log/messages 

[root@www named]# dig www.centos.vbird @192.168.100.254 
www.centos.vbird. 600 IN A 192.168.100.254 


# 要 得 到 上 面 的 卫 才 是 对 的 喔 ! 因为 接口 来 自 于 192.168.100.0/24 网 
段 


[root@wwww named]# dig www.centos.vbird @192.168.1.100 
www.centos.vbird. 600 IN A 192.168.1.100 


# 要 得 到 上 面 的 卫 才 是 对 的 喔 ! 因为 接口 来 自 非 192.168.100.0/24 网 


段 


有 没有 很 简单 ! 这 样 就 能 让 你 的 DNS 依据 不 同 的 用 户 来 源 ， 分 别 给 予 
同一 个 主机 名 的 


不 同 解析 呢 ! 
例题 : 
net.giang(@hotmail.com 


你 的 网 站 读者 非常 的 多 ， 但 是 分 布 在 世界 各 地 。 你 想 让 亚洲 区 的 读者 
联机 到 人 台湾 的 


站 人 台 ， 而 其 他 国家 的 联机 则 连 到 美国 的 站 人 台 ， 但 又 不 想 要 让 使 用 者 目 
己 挑选 不 同 的 主机 


名 ， 想 使 用 同一 组 主机 名 ， 此 时 该 如 何 是 好 ? 


vy 
》 
答 : 


zx 


0 单 的 方案 ， 就 是 透 过 DNS 来 设 定 相 同 主机 名 的 不 
同 IP 目标 ， 


亦 即 是 透 过 view 来 规范 即 可 。 不 过 ， 与 上 述 乌 哥 的 区 网 简单 范例 不 
同 ， 我 们 得 要 收集 


亚洲 区 的 了 P 才 行 ， 这些 区 段 可 能 可 以 透 过 的 下 的 网 站 来 取得 : 

0 五 大 洲 的 IP 管理 所 属 人 : http:/www.iana.org/numbers/ 

每 个 单位 的 IP 分 布 : 

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space 

.Xml 

0 台湾 地 区 IP 分 布 : 

http:/rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 
aton%28Startip%029 


然后 再 透 过 acl 以 及 view 来 规范 即 可 。 乌 哥 的 收集 资料 如 下 ， 如 有 果 有 


误 ， 还 请 
告知 ! 
acl asia { 1.0.0.0/8; 14.0.0.0/8; 27.0.0.0/8; 36.0.0.0/8; 


39.0.0.0/8; 


42.0.0.0/0; 49.0.0.0/8; 58.0.0.0/8; 59.0.0.0/8; 
60.0.0.0/8; 

61.0.0.0/8; 101.0.0.0/8; 103.0.0.0/8; 106.0.0.0/8; 
110.0.0.0/8; 

111.0.0.0/8; 112.0.0.0/8; 113.0.0.0/8; 114.0.0.0/8; 
115.0.0.0/8; 

116.0.0.0/8; 117.0.0.0/8; 118.0.0.0/8; 119.0.0.0/8; 
120.0.0.0/8; 

121.0.0.0/8; 122.0.0.0/8; 123.0.0.0/8; 124.0.0.0/8; 
125.0.0.0/8; 

126.0.0.0/8; 175.0.0.0/8; 180.0.0.0/8; 182.0.0.0/8; 
183.0.0.0/8; 

202.0.0.0/8; 203.0.0.0/8; 210.0.0.0/8; 211.0.0.0/8; 
218.0.0.0/8; 

219.0.0.0/8; 220.0.0.0/8; 221.0.0.0/8; 222.0.0.0/8; 
223.0.0.0/8; 

139.175.0.0/16; 140.0.0.0/8;150.116.0.0/16;150.117.0.0/16; 
163.0.0.0/8; 168.95.0.0/16;192.0.0.0/8; 

上 


acl nonasia { ! "asia"; any; }; 


如 上 所 示 ， 加 入 asia 与 nonasia 的 相关 设 定 ， 再 使 用 view 来 处 理 相 关 


的 zone ， 
并 修改 zone file 内 容 ， 就 能 够 处 理 好 这 个 案例 的 需求 咖 ! 
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19.6 DNS 服务 需 的 进 阶 设 定 
其 实 ， DNS 服务 器 的 运作 原理 与 架设 方式 的 变化 ， 真 的 很 高 深 莫 测 
的 ! 在 这 里 ， 


我 们 额外 的 提出 一 些 比 较 进 阶 的 内 容 给 大 家 参考 参考 ， 例如 架设 一 个 
合法 授权 的 DNS 


服务 器 以 及 利用 mdc 控 管 DNS 系统 喔 ! 
19.6.1 架设 一 个 合法 授权 的 DNS 服务 需 


好 啦 ! 现在 你 应 该 知道 什么 是 『 经 上 游 授权 的 合法 DNS 服务 器 上 了 
吧 ? 没 错 ! 束 


征 上 游 的 DNS 服务 器 将 子 域 的 查核 权 开 放 给 你 来 设 定 束 对 啦 ! 咽 ! 虽 
然 知道 原理 ,但 


是 那么 我 要 如 何 来 架设 一 个 合法 的 DNS 服务 器 呢 ? 好 让 我 目 己 管理 目 
己 的 domain! 举 


例 来 说 ， 乌 哥 的 vbird.idv.tw 束 古 乌 哥 目 己 管理 的 哩 ~~ 拘 下 我 们 整 来 谈 
一 谈 ， 如 何 癌 


ISP 申请 一 个 合法 授权 的 DNS 服务 器 ， 或 者 是 合法 的 主机 名 啊 ! 
[ 


1. 申请 一 个 合法 的 domain name .就 是 要 花 钱 ! 


既然 是 要 建立 一 个 合法 的 DNS server， 自 然 束 要 癌 合 法 的 ISP 申请 授 
权 嘿 ! 目前 


你 可 以 到 底下 的 地 方 去 申请 喔 ! 
D http:/www.twnic.net/index3.php 


其 实 TWNIC 已 经 将 台湾 地 区 的 一 些 domain 授权 给 各 大 ISP 管理 了 ， 
所 以 你 连接 


上 述 的 网 站 之 后 ， 可 以 点 选 里 头 相关 的 连结 到 各 大 ISP 去 注册 ! 例如 
乌 哥 束 在 Hinet 


注册 了 vbird.idv.tw 这 个 网 域 ! 现在 鸟 哥 束 以 Hinet 的 注册 做 为 说 明 
吧 . 


1. 进入 主 画 面 : 

直接 连结 到 底下 的 网 页 去 : http:/domain.hinet.net 

2. 选择 需要 的 域名 ， 并 查询 该 网 域 是 否 已 存在 : 

0 所 以 你 必需 使 用 该 网 页 当中 提供 的 查询 
Be， 


查询 一 下 你 想 要 的 网 域 是 否 已 经 被 注册 了 呢 ? 一 定 要 没有 被 注册 的 网 
域 才 可 以 


喔 | 
3. 逐步 进行 注册 : 


你 可 以 选择 很 多 种 类 的 领域 来 注册 ， 如 采 想 要 注册 个 人 网 站 ， 请 按 下 
图 所 指 的 (1) 


处 ， 如 采 想 要 注册 类 似 vbird.tw 这 种 网 域 的 话 ， 则 可 以 选择 (2) 所 指 的 
那个 


项 目 。 然 后 以 该 网 站 提供 的 功能 一 步 一 步 的 往 下 去 进行 ， 
的 工 个 人 


网 址 1 之 注册 为 例 ， 按 下 个 人 网 址 之 后 ， 会 出 现 流程 步 又 为 : 


例如 以 乌 哥 
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全 英文 域名 【com twyorg ,twinet,tw) 


ooooeeeoeooeeeoeoeseeooeeeeeooeeeooooeeeoeeoee ~. 


全 -个 人 域名 (idv .tw 
> 网 域名 衔 申请 SNW | 


> 身份 确认 
> 苇 幅 流 芝 肖 #0 宵 改 
» 合用 卡 瓣 莫 作 业 
» 中 TM 生 了 瞧 ) 激 莫 作 业 
» DNS 黑 翻 鼻 查 询 
> 判 是 密码 黑 动 —、 3 
» 用 户 次 料 查 询 ; 黑 圳 
» 网 域名 稳 移 转 
» 不 理 洪 度 查询 9 
全 中文 交 域 (.tw/ 台湾) 
全 泛 用 型 英文 域名 pi 
命 国际 域名 (.com) 


指定 型 能 说 明 : 

台湾 出 路 交 讯 中 心 提供 HOSTIP 指 定 服 萝 (DNS 代 管 ) ; 但 只 有 三 部 Host 的 限 
制 ， 若 您 的 主楼 数 超 骨 三 部 或 需要 IF 以 外 的 和 二 (如 MX record 让 
record) 请 自行 架设 定 DNS，DNS 角 Host 型 能 经 法 疗 存 。 


J 


vbird.idytw 指定 型 能 主机 信 DNS 


DNSIHost Server Name 


IP Address 


[dns .vbind idv.tw 


140.116.44.180 一 9 


让 


"mm 


lll ll 


一 一 一 一 


一 一 一 一 


0 一 | | 重 壮 | 
19.6-1、 以 Hinet 网 站 为 依据 介绍 注册 domain 的 方法 


请 依 序 
改 目 己 


的 领域 啦 ! 
4. 选择 网 站 代 管 或 染 设 DNS 模式 : 


我 们 可 以 直接 请 ISP 帮 我 们 设 定好 host 对 应 IP 就 好 (最 多 三 部 )， 当 然 
也 可 


以 自行 设 定 一 下 我 们 所 需要 的 DNS 服务 器 啦 ! 如 果 未 来 你 可 能 会 染 设 


mail 


server ， 所 以 还 是 自行 设 定 DNS 主机 好 了 ! 你 可 以 选择 图 19.6-1 在 
(3) 所 


指 的 【DNS 异动 与 查询 」 项 目 ， 会 出 现下 面 图 标 。 记 得 选择 TDNSJ 
及 填写 你 的 


hostname 与 正确 的 卫 即 可 喔 ! 注意 : 要 填 选 这 个 项 目 ， 最 好 你 的 IP 
是 固定 


制 的 ， 浮 动 制 的 IP 不 建议 用 这 个 选项 ! 
19.6-2、 以 Hinet 网 站 为 依据 介绍 注册 domain 的 方法 


步 一 步 的 将 他 完成 ， 最 后 你 会 得 到 一 组 账号 密码 ， 束 能够 修 
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名 

[ 

2. 以 DNS 服务 器 的 详细 设 定 (19.4) 之 设 定 内 容 来 设 定 你 的 主机 : 


如 果 你 已 经 以 DNS 服务 器 的 方式 申请 了 一 个 domain name ， 那 么 你 束 
必须 要 设 定 


你 的 DNS 主机 了 ! 请 注意 ， 这 个 情况 之 下 ， 你 只 要 设 定 你 的 注册 的 
网 域 的 正解 即 可 ! 


反 解 部 分 则 先 不 要 理会 ， 当 然 ， 如 果 你 有 办 法 的 话 ， 最 好 还 是 请 上 层 
的 ISP 帮 你 设 定 


喝 ! 

0 

3. 测试 : 

设 定 一 部 合法 的 DNS 完毕 后 ， 建 议 你 可 以 到 这 个 网 站 去 查询 一 下 你 的 


每 一 T 
设 定 是 否 妥 


当 : 


D http:/thednsreport.com/ 


如 此 一 来 ， 你 的 DNS 主机 上 面 设 定 的 任何 信息 ， 都 可 以 透 过 Internet 
上 面 的 任 


何 一 部 主机 来 查询 到 喔 ! 够 棱 吧 ! 心动 了 吗 ? 赶快 去 试看 看 吧 ! 和信 
19.6.2 LAME Server 的 问题 

或 许 你 曾经 在 /var/log/messages 里 面 看 到 类 似 这 样 的 讯 已 : 
[root@www ~]# more /var/log/messages 

1 Oct 5 05:02:30 test named[432]: lame server resolving 

'68.206.244.205. 

in-addrarpa' (in '206.244.205.in-addr.arpa'?): 205.244.200.3#53 


2 Oct 5 05:02:31 test named[4321: lame server resolving 


'68.206.244.205. 

in-addrarpa' (in '206.244.205.in-addr.arpa'?): 206.105.201.35#53 
3 Oct 5 05:02:41 test named[432]: lame server resolving 
'68.206.244.205. 

in-addrarpa' (in '206.244.205.in-addr.arpa'’?): 205.244.112.20#53 


这 是 什么 东西 呐 ? 根据 官方 提供 的 文件 资料 来 看 ( 在 你 的 CentOS 6.x 
的 系统 下 ， 请 


察看 这 个 档案 『 /usr/share/doc/bind-9.7.0/arm/Bv9ARM.ch06.html 4 )， 
当 我 们 的 


DNS 服务 器 在 向 外 面 的 DNS 系统 查询 某 些 正 反 解 时 ， 可 能 由 于 『 对 
方 」 DNS 主机 的 


net.qiang(Ohotmail.com 


0 
设 定 错误 ， 守 人 致 无 法 解析 a 到 预期 的 正 反 解 结 采 ， 这 个 时 候 束 会 发 生 所 


请 的 lame server 
的 错误 ! 


那么 这 个 错误 会 让 我 们 的 DNS 服务 器 发 生 什么 严重 的 后 末 吗 ?既然 仅 
征 对 方 的 设 


定 错误 ， 所 以 目 然 束 不 会 影响 我 们 的 DNS 服务 右 的 正常 作业 了 。 只 
征 我 们 的 DNS 主 


机 在 查询 时 ， 会 发 生 无 法 正确 解析 的 警告 讯 四 而 已 ， 这 个 讯 县 虽然 不 
会 对 我 们 的 Linux 


主机 发 生 什么 困扰 ， 不 过 ， 对 于 系统 管理 员 来 说 ， 要 天 天 查询 的 
/Var/log/messages 档 


案 竞 然 有 这 么 多 的 登录 信息 ， 这 是 很 讨厌 的 一 件 事 | 


好 了 了， 我们 知道 lame server 是 对 方 主机 的 问题 ， 对 我 们 主机 没有 影 
啊 ， 但 是 却 


又 不 想 要 让 该 讯 忧 出 现在 我 们 的 登录 档 /var/log/messages 当中 ， 怎 么 
达到 这 样 的 功 


能 呢 ? 呵呵 ! 就 直接 利用 BIND 这 个 软件 所 提供 的 登录 文件 参数 啊 ! 
动作 很 简单 ， 在 


你 的 /etc/named.conf 档案 当中 的 最 底下 ， 加 入 这 个 参数 即 可 : 


# 1. 修改 /etc/named.conf 


[root@www ~]# vim /etc/named.conf 
/加 入 底下 这 个 参数 : 

logging { 

category lame-servers { null; }; 

岂 

# 2. 重新 局 动 bind 

[root@www ~ |]# /etc/init.d/named restart 


基本 上 ， 那 个 logging 是 主机 的 登录 文件 记录 的 一 个 设 定 项 目 ， 因 为 
我 们 不 要 lame 


server 的 信息 ， 所 以 才 将 他 设 定 为 无 (null) ， 这 样 束 改 完了 ! 记得 重 
狐 启动 named 


之 后 ， 还 是 要 察看 一 下 /var/log/messages 喔 ! 以 确定 named 的 正确 局 
动 与 否 ! 然 


后 ， 嘿 嘿 ， 以 后 束 不 会 看 到 lame server 咯 ! 
19.6.3 利用 RNDC 指令 管理 DNS 服务 器 


不 知道 你 会 不 会 觉得 很 奇怪 ， 那 束 是 为 喻 启动 DNS 后 ， 在 
/Var/log/messages 老 


command channel listening on 127.0.0.1#953 


而 且 在 本 机 端的 port 953 还 多 了 个 named 所 局 动 的 服务 ， 那 是 哈 ? 那 
就 是 所 谓 的 
mdc 了 了。 这 个 mdc 是 BIND version 9 以 后 所 提供 的 功能 啦 ， 他 可 以 让 
你 很 轻松 的 


管理 你 目 己 的 DNS 服务 硕 喔 ! 包括 可 以 检查 已 经 存在 DNS 快 取 当 中 
的 资料 、 重 新 更 
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新 某 个 zone 而 不 需要 重新 局 动 整个 DNS ， 以 及 检查 DNS 的 状态 与 


统计 资料 等 等 的 ， 
挺 有 趣 的 ! 
不 过 ， 因 为 mdc 可 以 很 深入 的 管理 你 的 DNS 服务 器 ， 所 以 当然 要 进 


行 一 些 控 管 
啦 ! 控 管 的 方式 是 经 过 mdc 的 设 定 来 建立 一 文 密 钥 (ndc key)， 并 将 
这 支 密 钥 相关 


的 信息 写 入 你 的 named.conf 配置 文件 当中 ， 重 新 启动 DNS 后 ， 你 的 
DNS 怠 能 够 藉 由 


rndc 这 个 指令 来 管理 嗓 ! 事实 上， 新 版 的 distributions 通常 已 经 帮 你 
主动 的 建立 


好 mdc key 了 ， 所 以 你 不 需要 忙碌 ~ 不过， 如果 你 还 是 在 登录 档 当中 
发 现 一 些 错误 ， 


例如 : 
couldn't add command channel 127.0.0.1#953: not found 


那 就 表示 你 DNS 的 mndc key 没有 设 定好 啦 ! 那 要 如 何 设 定好 ? 很 商 单 
内 要 大 建 这 


一 把 rndc key ， 然 后 加 到 named.conf 当中 去 即 可 ! 你 可 以 使 用 bind 提 
供 的 指令 来 


进行 这 样 的 工作 喔 ! 
#1. 先 建立 mdc key 的 相关 数据 吧 1 


[root@www ~]# rndc-confgen 


# Start of mdc.conf <== 底 下 没有 # 的 第 一 部 份 请 复制 到 /etc/rndc.conf 
中 

key "mdc-key" { 

algorithm hmac-md5; 

secret "UUqxyIwui+22CobCYFjSkg=="; 

.> 

options { 


default-key "rndc-key"; 


default-server 127.0.0.1; 

default-port 953; 

# End of rndc.conf 

# 至 于 底下 的 key 与 controls 部 分 ， 则 请 复制 到 named.conf 日 解 开 # 
喔 ! 

# Use with the following in named.conf, adjusting the allow list as 
needed: 

# key "rndc-key" { 

# algorithm hmac-md5; 

# secret "UUqXyIwui+22CobCYFj5kg=="”; 

上 

# 

# controls { 

# inet 127.0.0.1 port 953 
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# allow { 127.0.0.1; } keys { "mdc-key"; }; 

ta 

# End of named.conf 


# 请 注意 ， 这 个 rndc-confgen 是 利用 随机 数 计 算出 加 密 的 那 把 key ， 


# 所 以 每 次 执行 的 结果 都 不 一 样 。 所 以 上 述 的 数据 与 你 的 屏幕 会 有 点 
不 同 。 


# 2. 建立 rndc.key 档案 
[root@www ~]# vim /etc/rndc.key 


# 在 这 个 档案 当中 将 原本 的 数据 全 部 删除 ， 并 将 刚刚 得 到 的 结 采 给 他 
贴 上 去 


key "mdc-key" { 

algorithm hmac-md5; 

secret "UUqxyIwui+22CobCYFjSkg=="; 
}; 

# 3. 修改 named.conf 


[root@www ~]# vim /etc/named.conf 


# 在 某 个 不 被 影响 的 角落 建 置 如 下 的 内 容 : 


key "mdc-key" { 

algorithm hmac-md5; 

secret "UUqXyIwui+22CobCYFj5kg=="”; 
}; 

controls { 

inet 127.0.0.1 port 953 

allow { 127.0.0.1; } keys { "rndc-key"; }; 


}; 


[root@www ~ |]# /etc/init.d/named restart 


建立 了 rndc key 并 且 启 动 DNS ， 同 时 你 的 系统 也 已 经 有 port 953 之 
后 ， 我 们 吏 可 


以 在 本 机 执行 mdc 这 个 指令 了 。 这 个 指令 的 用 法 请 直接 输入 mdc 来 
查询 即 可 : 


[root@www ~]# rndc 

Usage: rndc [-c config] [-s server] [-p port] 

[-k key-file ] [-y key] [-V] command 

command is one of the following: 

reload Reload configuration file and zones. 

stats Write server statistics to the statistics file. 

dumpdb Dump cache(s) to the dump file named_dump.db). 
flush Flushes all of the server's caches. 

status Display status of the Server. 

# 其 他 束 给 他 省 略 啦 ! 请 自行 输入 这 个 指令 来 参考 路 1! 
net.giang(@hotmail.com 

那 如 何 使 用 呢 ? 我 们 举 几 个 小 例子 来 说 明 吧 ! 

# 范例 一 : 将 目前 DNS 服务 器 的 状态 显示 出 来 
[root@www ~]# rndc status 

version: 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 


CPUs found: 1 


worker threads: 1 

number of zones: 27 <== 这 部 DNS 管理 的 zone 数量 

debug level: 0 <== 是 否 具 有 debug 及 debug 的 等 级 

xfers running: 0 

xfers deferred: 0 

soa queries in progress: 0 

query logging is OFF <== 是 否 具 有 debug 及 debug 的 等 级 
recursive clients: 0/0/1000 

tcp clients: 0/100 

server is up and running <== 是 否 具 有 debug 及 debug 的 等 级 
# 范例 二 : 将 目前 系统 的 DNS 统计 数据 记录 下 来 
[root@www ~]# rndc stats 

# 此 时 ， 预 设 会 在 /varnamed/data 内 产生 新 档案 ， 你 可 以 去 查阅 : 
[root@www ~]# cat /var/named/data/named_stats.txt 

+++ Statistics Dump +++ (1312528012) 

…( 中 间 省 略 )..…… 

++ Zone Maintenance Statistics ++ 

2 IPv4 notifies sent 

++ Resolver Statistics ++ 


…( 中 间 省 略 )..… 


++ Cache DB RRsets ++ 

[View: lan (Cache: lan)] 

[View: wan (Cache: wan)] 

[View: _bind (Cache: _bind)] 
[View: meta (Cache: meta)l 

++ Socket IO Statistics ++ 

5 UDP/IPv4 sockets opened 

4 TCP/IPV4 sockets opened 

2 UDP/Pv4 sockets closed 

1 TCP/IPvV4 sockets closed 

2 TCP/IPVv4 connections accepted 
++ Per Zone Query Statistics ++ 
--- Statistics Dump --- (1312528012) 


# 苑 例 三 : 将 目前 高 速 缓存 当中 的 数据 记录 下 来 


[root@www ~]# rndc dumpdb 
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0 


# 与 stats 类 似 ， 会 将 cache 的 数据 放置 成 为 一 个 档案 ， 你 可 以 去 查 
阅 : 


# /varnamed/data/cache_dump.db 


如 果 你 在 执行 mndc 指令 时 老 是 出 现 如 下 错误 : 

rdc: connection to remote host closed 

This may indicate that the remote server is using an older version of 
the command protocol, this host is not authorized to connect, 


or the key is invalid. 


这 表示 你 的 /etc/rndc.key 与 /etc/mdc.conf 内 窗 钥 的 编码 不 同 所 致 。 请 
你 自行 以 


上 述 的 mdc-confgen 的 方式 自行 处 理 你 的 mndc key ， 并 重新 启动 
named 即 可 啊 ! 


用 这 东西 管理 ， 你 就 不 需要 每 次 都 重新 启动 named 史 ! 人 人 
19.6.4 架设 动态 DNS 服务 器 : 让 你 成 为 ISP 啦 ! 


什么 是 动态 DNS (Dynamic DNS, DDNS) 主机 呢 ? 还 记得 我 们 在 第 十 
曹 里 面 所 到 ，. 


如 果 我 们 本 身 是 以 拨 接 制 的 ADSL 连 上 Internet 时 ， 我 们 的 IP 通常 是 
ISP 随机 提 


供 的 ， 因 此 每 次 上 网 的 IP 都 不 国定 ， 所 以 ， 我 们 没有 办 法 以 上 面 的 
DNS 设 定 来 给 予 


这 种 连 上 Internet 的 方法 一 个 适当 的 主机 和 名。 


也 因此 ， 如 采 我 们 想 权 利用 这 种 没有 固定 IP 的 联机 方法 架设 网 站 时 ， 
忠 得 要 有 特 


殊 的 管道 了 全 其 中 之 一 的 方法 就 是 利用 Internet 上 面 已 经 提供 的 免费 
动态 IP 对 应 


主机 名 的 服务 ! 例如 : http:/www.no-ip.org 。 


提供 这 样 的 服务 利用 的 是 什么 原理 呢 ? 基本 上 ， DNS 主机 还 是 得 要 提 


供 Internet 


相关 的 zone 的 主机 名 与 IP 的 对 应 数据 才 行 ， 所 以 ，DDNS 主机 就 必 
须要 提供 一 个 机 


制 ， 让 客户 端 可 以 透 过 这 个 机 制 来 修改 他 们 在 DDNS 主机 上 面 的 zone 
file 内 的 数据 


才 行 。 


那 会 不 会 很 难 啊 ? 不 会 啊 ! 我 们 的 BIND 9 就 有 提供 类 似 的 机 制 啦 ! 
那 束 是 利用 


update-policy 这 个 选项 ， 配 合 认 证 用 的 key 来 进行 数据 文件 的 更 新 。 
简单 的 说 ，1) 


我 们 的 DDNS 主机 先 提供 Client 一 把 Key ( 殉 是 认证 用 的 数据 ， 你 可 
以 将 他 想 成 是 


账号 与 密码 的 概念 )，2) Client 端 利 用 这 把 Key ， 并 配合 BIND 9 的 
nsupdate 指 


令 ， 束 可 以 连 上 DDNS 主机 ， 并 且 修改 主机 上 面 的 Zone file 内 的 对 
应 表 了 “。 感 觉 上 


很 像 很 简单 喔 ! 没 错 啊 ! 以 设 上 真 的 很 简单 的 一 确 下 我 们 束 来 葵 试 设 
定 一 下 喔 : 


[ 
1.DDNS Server 端的 设 定 : 
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假设 我 有 一 个 朋友 ， 他 使 用 的 Linux 主机 的 IP 是 会 随时 变动 的 ， 但 是 
他 想 要 架 


设 Web 网 站 ， 所 以 他 向 我 申请 了 一 个 领域 名 ， 那 就 是 
web.centos.vbird ， 此 时 我 必 


需要 给 他 一 把 密 钥 ， 并 且 设 定 我 的 named.conf 让 centos.vbird 这 个 
zone 能 够 接 


受 来 目 客 户 端的 数据 更 狐 才 行 ! 首先 来 建立 这 把 密 钥 吧 ! 
[root@www ~]# dnssec-keygen -a [算法 ] -b [密码 长 度 ] -n [类 型 ] 名 称 
选项 与 参数 : 


-a: 后 面 接 的 [type] 为 演算 方式 的 意思 ， 主 要 有 RSAMD5, RSA, DSA， 
DH 


与 HMAC-MD5 和 等。 建议 你 可 以 使 用 常见 的 HMAC-MD5 来 演算 密 
码 ; 


-b : 你 的 密码 长 度 为 多 少 ? 通常 给 予 512 位 的 HMAC-MD5; 


-n : 后 面 接 的 则 是 客户 端 能 够 更 狐 的 类 型 ， 主 要 有 放下 两 种 ， 建 议 给 
HOST 即 


可 : 
ZONE: 客户 端 可 以 更 新 任何 标志 及 整个 ZONE; 
HOST: 客户 端 仅 可 以 针对 他 的 主机 名 来 更 新 。 


[root@www ~]# cd /etc/named 

[root@www named]# dnssec-keygen -a HMAC-MDS5 -b 512 -n HOST web 
Kweb.+157+36124 

[root@www named]# ls -| 


-TW------- . 1 root root 112 Aug 5 15:22 Kweb.+157+36124.key 


-TW------- . 1 root root 229 Aug 5 15:22 Kweb.+157+36124.private 
# 上 面 那 把 是 公 钥 ， 下 面 那 把 则 是 私 钥 档 案 ! 


[root@www named]# cat Kweb.+157+36124.key <== 看 一 下 公 钥 |! 


web. IN KEY 512 3 157 
xZmUo80zG8f2O0Sg/cqH8Bqxk59Ho8....3s91jUxpFB4Q== 


# 注意 到 最 右边 的 那个 密码 长 度 ， 等 一 下 我 们 要 复制 的 仅 有 那个 地 


方 ! 


接 下 来 你 必需 要 : 将 公 钥 的 密码 复制 到 /etc/named.conf 当中 ， 将 私 钥 
传 给 你 的 


web.centos.vbird 那 部 主机 上 1! 好 了 ， 那 就 开始 来 修改 named.conf 内 的 
相关 设 定 吧 ! 


[root@www ~]# vim /etc/named.conf 

/ 先 在 任意 地 方 加 入 这 个 Key 的 相关 密码 信息 ! 

key "web" { 

algorithm hmac-md5; 

secret "xZmUo80zG8{f2O0Sg/cqH8Bqxk59Ho8....3s91JUxpFB4Q=="; 
}; 

/ 然后 将 你 原本 的 zone 加 入 底下 这 一 段 宣示 

zone "centos.vbird" IN { 

type master; 


file "named.centos.vbird"; 


allow-transfer { 192.168.100.10; }; 

update-policy { 
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grant web name web.centos.vbird. A; 

}; 

}; 

[root@www ~l# chmod g+w /var/named 

[root@www ~]# chown named /var/named/named.centos.vbird 
[root@www ~ |]# /etc/init.d/named restart 

[root@www ~]# setsebool] -P named_write_master_zones=1 


注意 到 上 头 的 grant web name web.centos.vbird. A; 那 一 行 ， grant 后 面 
接 的 就 是 


key 的 名 称 ， 也 就 是 说 ， 我 这 把 web 的 key 在 这 个 zone (centos.vbird) 
里 面 可 以 


修改 主机 名 web.centos.vbird 的 A 的 标志 ， 亦 即 是 修改 主机 的 卫 对 应 
陈 上 全 请 潜 启 


就 是 : ”grant [key_name] name [hostname] 标签 也 就 是 说 ， 我 的 一 把 
key 其 实 可 以 


给 予 多 种 权限 喔 ! 就 看 你 如 何 规范 了 。 


设 定好 之 后 ， 由 于 未 来 客户 端 传 来 的 信息 是 由 我 们 主机 的 named 所 写 
入 ， 写 入 的 


日 好 在 /varvnamed/ 当中 ， 所 以 你 必需 要 修改 一 下 权限 喔 ! 给 他 重新 启 
动 DNS， 然 后 


观察 一 下 /var/log/messages 里 面 有 没有 错误 即 可 ! 如 此 一 来 ，DDNS 
主机 端 瓯 设 定 


妥当 鹃 |! 
0D 
2. Client 端的 更 新 : 


接 下 来 则 是 DDNS Client 端的 更 新 了 。 首 先 ， 你 必须 要 由 Server 端 取 
得 刚刚 建 


立 的 那 两 个 档案 ， 请 将 刚刚 建立 的 Kweb.+157+36124.key 及 


Kweb.+157+36124.private 利用 SSH 的 sftp 传送 到 客户 端 ， 亦 即 是 那 


部 


web.centos.vbird 主机 上 头 ， 假 设 你 已 经 将 这 两 个 档案 放置 到 
/usr/local/ddns 里 


面 去 ， 然 后 测试 看 看 : 


[root@web ~]# cd /usr/local/ddns 


[root@web ddnsl# nsupdate -k Kweb.+157+36124.key 

> server 192.168.100.254 

> update delete web.centos.vbird <== 删 除 原 有 的 

> update add web.centos.vbird 600 A 192.168.100.200 <== 更 新 到 最 新 的 
> Send 


> 最 后 在 此 按 下 [ctrl]+D 即 可 


请 注意 到 『 update add web.centos.vbird 600 A 192.168.100.200 4 这 
行 ， 他 的 意 


义 说 的 是 ， 新 增 一 笔 数 据 ，ttl 是 600 ， 给 予 A 的 标签 ， 对 应 到 
192.168.100.200 的 


意思 ~ 至 于 nsupdate -k 后 面 加 的 则 是 我 们 在 Server 端 产生 的 那个 key 
档案 ! 
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然后 你 就 会 发 现 到 在 DNS 服务 器 端的 /var/mamed/ 里 面 多 出 一 个 暂 存 
档 ， 那 就 是 


named.centos.vbird.jnl 当然 ，/var/named/named.centos.vbird 束 会 随 着 客 


户 端的 
要 求 而 更 新 数据 喔 
由 于 手动 更 新 好 像 挺 麻烦 的 ， 我 们 就 让 Client 自动 更 新 吧 ! 利用 底下 


这 个 script 

RB]! 

[root@web ~]# vim /usr/local/ddns/ddns_update.sh 
#!/bin/bash 

PATH=/sbin:/bin:/usr/sbin:/usr/bin 

export PATH 


# 0. keyin your parameters 


basedir="/usr/local/ddns"# 基本 工作 目录 


keyfile="$basedir"/"Kweb.+157+36124.key" # 将 档 名 填 进 去 吧 ! 


ttl=600# 你 可 以 指定 也 的 时 间 

喔 ! 

outif="eth0" # 对 外 的 联机 接口 ! 
hostname="web.centos.vbird" # 你 同 ISP 取得 的 那个 主 
机 名 啦 ! 

servername="192.168.100.254"# 束 是 你 的 ISP 啊 ! 

# Get your new IP 

newip=ifconfig "$0outif" | grep "inet addr | \ 

awk '{print $2}' | sed -e "s/addr\://™ 

checkip=echo $newip | grep "^[0-9]"if [ "$checkip" == "" ]; then 
echo "$0: The interface can't connect internet...." 

exit 1 

fi 

# create the temporal file 

tmpfile=$basedir/tmp.txt 

cd $basedir 

echo "server $servername" > $tmpfile 

echo "update delete $hostname A " >> $tmpfile 

echo "update add $hostname $ttl A $newip" >> $tmpfile 


echo "send" >> $tmpfile 


# Send your IP to server 
nsupdate -k $keyfile -v $tmpfile 
你 只 要 将 上 壕 的 程序 里 面 ， 特 殊 字体 的 部 分 给 他 修改 一 下 ， 束 能 够 以 


/etc/crontab 的 


0 这 文 程序 你 也 可 以 在 底下 的 连结 下 
车 久 : 
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0 
0 


LD http:/linux.vbird.org/linux_ server/0350dns/ddns update.sh 


利用 BIND 9 所 提供 的 这 个 服务 ， 我 们 只 要 具有 一 组 固定 的 IP ， 并 回 
ISP 申请 


一 个 合法 授权 的 domain name， 残 可 以 提供 不 论 是 固定 或 者 是 非 固 定 
的 卫 使 用 者 ， 


一 个 合法 的 主机 名 了 ! 并 且 ， 使 用 者 也 可 以 自行 透 过 nsupdate 来 修改 
自己 的 耳 对 


应 ! 以 让 目 己 的 主机 IP 永远 与 主机 名 保持 正确 的 对 应 ! 这 对 只 有 拨 接 
制 上 网 的 用 户 来 


说 ， 真 是 方便 啊 ! 
19.7 重点 回顾 


0 在 Internet 当中 ， 任 何 一 部 合法 的 主机 都 具有 独一无二 的 主机 名 ， 这 
小 二 


机 名 包含 了 hostname 与 domain name ， 并 称 为 Fully Qualified Domain 
Name 


(FQDN); 


0 为 了 克服 人 类 对 于 人 P 不 易 记 忆 的 困扰 ， 而 有 名 称 解 析 右 的 产生 ， 目 
完 古 


/etc/hosts ， 而 后 则 是 DNS 系统 的 产生 


J 前 Unix Like 的 机 器 当中 ， 都 是 以 BIND 这 个 相克 羔 大 学 发 展 的 软 
件 来 


架设 DNS 服务 器 : 


DDNS 是 个 协议 的 名 称 ，BIND 则 是 一 个 软件 ， 这 个 软件 提供 的 程序 
为 named ! 


0 在 DNS 当中 ， 每 一 笔记 录 我 们 就 称 他 为 RR (Resource Record)。 

0 在 DNS 系统 中 ， 正 解 为 由 hostname 找 IJ ， 而 反 解 则 是 由 卫 找 
hostname ， 至 于 zone 则 是 一 个 或 者 是 部 分 网 域 的 设 定 值 ; 

口 在 bind 9 之后， 预 设 的 情况 下 named 已 经 作 了 chroot 的 动作 。 

0 Slave 主机 本 身 并 没有 自行 设 定 zone file ， 其 zone file 是 由 Master 
主机 传送 而 来 ， 因 此 ， master 主机 必须 要 针对 slave 主机 开放 
allow-transfer 的 设 定 项 目 才 行 。 


0 整个 DNS 搜寻 的 流程 当中 ， 奎 找 不 到 本 身 的 数据 ， 则 会 同 root(.) 要 


Wa A 
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料 ; 


0 正解 的 纪录 (record) 主 要 有 : SOA, A, MX, NS, CNAME, TXT 及 
HINFO 等 ; 


吕 反 解 的 纪录 主要 有 : ”SOA, PTR 等 ; 
DDNS 查询 的 指令 主要 有 : ”host, nslookup, dig, whois 等 等 ; 


0 在 载 入 了 named 这 个 daemon 之 后 ， 请 务必 前 往 /var/log/messages 察 
看 


此 daemon 的 成 功 与 否 。 
19.8 本 章 习 题 
0 为 何 要 有 DNS 系统 : 


最 主要 的 功能 其 实在 于 Hostname 对 应 下 的 查询 ， 可 以 让 我 们 人 类 
以 计 和 


机 主机 名 连 上 Intemet ， 而 不 必 硼 诵 耳 哩 ! 
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Like 系统 当中 ， 主 要 使 用 那个 软件 做 为 DNS 主机 的 架设 ， 同 
日 


又 是 使 用 那个 daemon 来 启动 DNS 系统 ? 
在 Unix Like 系统 当中 ， 使 用 BIND 这 个 软件 做 为 DNS 的 架设 ， 至 于 
daemon 则 是 使 用 named 这 个 daemon ! 


Internet 其 实 是 为 了 政府 人 员 可 以 连 上 网 络 以 进行 资源 的 分 


享 ， 


站， 则 是 电子 邮件 的 使 用 。 而 在 早期 使 用 的 重要 档案 只 有 /etc/hosts 这 
[a 


> 次 


请 教 这 个 hosts 档案 的 内 容 含 有 什么 项 目 ? 

这 个 档案 的 【格式 4 为 了 [IIP] [主机 名 ] [主机 别名 (aliase)]4 ， 而 ， 这 
个 档案 里 面 放置 了 至 少 一 行 ， 也 束 是 : 

127.0.0.1 localhost localhost.localdomain 


另外 ， 也 可 以 将 经 常 连接 的 主机 IP 与 HOSTNAME 的 对 应 给 他 写 进 
来 ! 


0 正解 档案 (forward) 反 解 档 案 (reverse) 与 内 部 循环 使 用 的 档案 
(loopback) 


主要 的 纪录 功能 大 


0D 正解 文件 在 设 定 hostname 对 应 到 了 的 纪录 ， 主 要 的 纪录 有 A, NS， 
SOA， 


MX, CNAME 等 等 ， 反 解 档 主 要 设 定 卫 对 应 到 Hostname 的 纪录 ， 主 
要 的 纪录 


为 SOA, NS 与 PTR 等 。 内 部 循环 则 是 localhost 与 127.0.0.1 的 对 应 
啦 ! 


在 主要 的 DNS 配置 文件 /etc/named.conf 当中 ， 有 一 个 较为 特殊 的 档 
案 ， 


他 的 类 型 为 hint ， 请 问 这 个 档案 的 功能 为 何 ? 
这 个 档案 主要 是 由 rs.internic.net 所 下 载 下 来 的 ， 主 要 记录 了 root (.) 


这 个 zone 的 卫 ! 可 以 让 我 们 的 DNS Server 在 找 不 到 数据 库 时 ， 可 以 
到 这 个 


root 去 查询 数据 ! 


在 client 端 搜寻 HOSTNAME 对 应 到 IP 的 查询 时 ， 最 重要 的 档案 ， 
以 及 该 


档案 的 主要 用 途 为 何 ? 

/etc/nsswitch.conf : 可 以 用 来 设 定 查询 主机 名 的 顺序 ! 例如 先 查 询 
/etc/hosts 再 查询 DNS 系统 ; 

/etc/hosts : 最 早 的 名 称 解 析 硕 

/etc/resolv.conf: 这 就 是 DNS 系统 的 resolver (解析 器 ) 了。 


D 一 般 来 说 ， 在 Client 端 使 用 的 查询 HOSTNAME 的 指令 大 多 使 用 什 
人 ?了 


D nslookup : 可 以 用 来 收集 一 部 主机 的 相关 信息 ; 
dig: 可 以 用 来 收集 详细 的 主机 信息 ; 

whois : 可 以 用 来 收集 详尽 的 DNS 主机 信息 。 
host 则 较为 简单 喔 | 

0 请 问 named 重要 的 信息 登录 在 在 那个 档案 中 ? 
口 在 /var/log/messages 当中 
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19.9 参考 数据 与 延伸 阅读 
0 注 1: 可 以 找到 的 最 顶层 领域 名 (gTLD, ccTLD) 相关 查询 网 站 : 


http:/www.whois365.com/tw/listtld 


http:/icannwiki.org/GTLD and ccTLD 
DBIND 官方 网 站 : http://www.isc.org/products/BIND/ 
0 Study Area 学 习 网 站 : 


http:/www.study-area.org/linux/servers/linux dns.htm 


0D 优 客 笔记 :_http://turtle.ee.ncku.edu.tw/~tung/dns/dnsintro.html 
D lame server 的 简易 说 明 :_http://inux.cvf.net/lame server.html 
DD DDNS 小 设 :_http://www.study-area.org/tips/ddns.htm 

0 Hinet 反 解 申请 单 :_http://hidomain.hinet.net/top1.html 

0 合法 DNS 上 


D 对 于 想 要 架设 内 外 部 不 同 DNS 查询 功能 的 朋友 来 说 ， 可 以 参考 


view 这 个 


参数 ， 请 参考 : 


: http:/www.dnsreport.com/ 


口 来 目 Red Hat 公司 的 一 份 教学 : 


http:/www.redhat.com/magazine/026dec06/features/dns/? 
sc cid=bcm edms 
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0 台湾 NIC 制作 的 很 棒 的 教学 : 


http://dns-learning.twnic.net.tw/bind/toc.html 
Dbind 的 view 应 用 : http:/www.l-penguin.idv.tw/article/dns.htm 
0 管理 IP 的 单位 


http:/rms.twnic.net.tw/twnic/User/Member/Search/main7.jsp?Order=inet 
aton%28Startip%029 

2002/12/10: 首次 完成 

2003/03/10: 修改 部 分 内 容 ， 并 且 新 增 LPI 相关 性 与 重点 整理 部 分 ! 
2003/09/10: 修改 了 部 分 的 版 面 ， 并 将 slave DNS 的 错误 修订 完毕 | 


2003/10/08: 痢 增 了 lame server 的 说 明 ， 与 解决 之 道 ! 


2004/10/29: 新 增 了 mdckey 的 说 明 与 解决 之 道 ! 
2004/10/30: 新 增 了 Master/Slave 的 架构 设 定 


2005/07/19: 增加 了 SOA 内 五 个 数字 的 大 小 2006/10/17: 将 之 前 的 旧 
文章 移动 到 此 处 


2006/10/20: 终于 ~ 不 容易 一 将 一 些 数据 给 他 修订 完毕 啦 ! 


2007/06/25: 小 州 大 大 来 信 告 知 Forwarding 与 cache-only 的 介绍 可 以 
加 以 修改 。 已 


经 处 理 成 为 这 样 。 2011/04/26: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 刍 
此 处 


2011/05/10: 增加 了 不 少 东 西 ， 包 括 将 view 也 加 进来 一 欢迎 大 家 人 参 
考 ! 


2011/08/04: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 


2011/08/05: 光 是 要 将 这 一 堆 东 西 测试 完毕 豆花 好 多 时 间 ! 这 一 版 的 
script 有 点 不 一 


样 ， 得 要 注意 喔 | 
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第 二 十 童 、WWW 服务 器 

最 近 更 新 日 期 : 2011/08/05 

我 们 最 常 讲 的 『 架 站 J 其 实 束 是 架设 一 个 Web 网 站 啦 ! 那么 什么 是 
Web 呢 ? 那加 是 全 球 信息 广播 的 意 


思 (World Wide Web)， 或 者 也 可 以 称 之 为 互连网 吧 ! 这 个 是 我 们 目前 
的 人 类 最 销 使 用 的 Internet 的 协 


议 之 一 啦 ! 通常 说 的 上 网 就 是 使 用 WWW 来 查询 用 户 所 需要 的 信息 
嚼 ! 目前 在 Unix-Like 系统 中 的 WWW 


服务 磺 主 要 就 是 透 过 Apache 这 个 服务 器 软件 来 达成 的 ， 而 为 了 动态 
网 站 ， 于 是 LAMP (Linux + Apache 


+ MySQL + PHP) 就 这 么 产生 啦 ! 让 我 们 赶紧 来 进入 LAMP 的 世界 
吧 ! 


20.1 WWW 的 简 史 、 资 源 了 上 务 踢 软 


20.1.3 WWW 服务 器 的 类 型 系统、 平台 、 交 与 往 序 (LAMP) 


20.1.4 https: 


20.1.5 端 常 见 的 浏览 绒 


20.2 WWW (LAMP) 服务 器 基本 设 定 


20.2.1 LAMP 所 需 软 件 与 其 结 格 


20.2.2 Apache 的 基本 设 定 : 
(DocumentRoot， 


Directory) 


20.4.2 syslog logrotate 


20.4.3 登 5 分 析 软 件 : webalizer 


20.4.4 从 5 分 析 软 件 : awstats 
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O 

0 

20.5.4 防 人 砍 站 软件 

20.6 重点 回顾 

20.7 本 童 习题 

20.8 参考 数据 与 延伸 阅读 

20.9 针对 本 文 的 建议 :http://phorum.vbird.org/viewtopic.php?p=116564 
20.1 WWW 的 简 史 、 资 源 以 及 服务 器 软件 


你 知道 网 络 为 什么 会 这 么 流行 吗 ? 其 实 都 是 WWW 造成 的 啦 。 早 在 
1993 年 左右 ， 


乌 哥 初次 接触 到 网 络 ， 当时 的 网 络 较 热 门 的 大 概 就 是 一 些 资 源 下 载 的 
FTP 网 站 以 及 很 


多 文字 热烈 讨论 的 BBS 站 了 。 数据 虽然 丰富 ， 不 过 ， 总 是 觉得 少 了 
点 什么 。 后 来 上 了 


研究 所 ， 为 了 课业 需要 ， 经常 连 上 人 台湾 的 学 术 网 络 (TANET) 进行 一 
些 学 术 数 据 的 检索 ， 


当时 大 约 是 1996 年 左右 。 因为 上 网 束 是 要 找 数 据 而 已 ， 所 以 束 慢 慢 
的 很 少 使 用 网 络 


下 


过 了 几 年 后 ， 再 次 使 用 图 形 接口 的 操作 系统 ， 竞 然 发 现 只 要 点 几 个 小 
按钮 ， 束 会 有 


很 多 网 络 上 花花 绿绿 的 文字 与 图 案 ， 有 的 网 站 甚至 提供 影音 的 特效 ， 
当时 真是 相当 的 


讶 异 ! 不 过 ， 由 于 图 形 影 像 的 视觉 方面 要 比 BBS 纯 文 本 的 数据 吸引 
人 ， 目 然 造成 很 多 


人 喜欢 流连 在 因特网 上 ， 人 潮 多 当然 就 有 商机 ! 由 于 奇 货 可 居 ， 才 有 
后 来 90 年 代 末 期 


的 浏览 万 大 战 ， 这 个 商业 大 战 也 造成 后 来 WWW 标准 不 被 某 些 浏览 郁 
所 支持 的 后 有 果 。 


这 些 年 由 于 搜索 引擎 、 个 人 网 志 (blog)、 社 群 网 站 (例如 facebook 


等 )、 智慧 手 


机 等 的 流行 ， 又 将 因特网 推 癌 为 一 个 新 境界 ! 啊 ! 要 学 的 东西 真是 很 
多 啊 ~~@_@。 瓜 下 


让 我 们 来 了 解 了 解 什 么 是 WWW 以 及 他 所 需要 的 服务 器 软件 ， 还 有 一 
些 浏 哎 右 相关 的 信 


局 、 吧 | 


20.1.1 WWW 的 简 史 、HTML 与 标准 制订 (W3C) 


因特网 (TCP/IP) 会 这 么 热门 ， 主 要 是 80 年 代 的 email 以 及 90 年 代 之 
后 的 


WWW 服务 所 造成 的 ! 尤其 是 WWW 这 个 玩意 儿 。WWW 是 World 
Wide Web 的 缩写 ， 其 中 


Web 有 广播 网 的 意思 存在 ， 所 以 简称 为 全 球 信息 网 的 就 是 了 。WWW 
可 以 结合 文字 、 图 


形 、 影 像 以 及 声音 等 多 媒体 ， 并 透 过 可 以 让 鼠标 点 击 的 超 链 接 
(Hyperlink) 的 方式 将 


信息 以 Intemet 传递 到 世界 各 处 去 。 


与 其 他 的 服务 器 类 似 的 ， 你 要 连结 上 WWW 网 站 时 ， 该 网 站 必需 要 提 
供 一 些 数据 ， 而 


你 的 客户 问 则 必需 要 使 用 可 以 解析 这 些 数 据 的 软件 来 处 理 ， 那 束 是 浏 
览 器 啦 ! 简单 的 来 


说 ， 你 可 以 这 样 瞧 一 瞧 WWW serverclient 的 相关 性 : 
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利用 网 址 向 伺服 占 提 出 要 求 
OO 


何 服 占 回 杂记 要 求 的 资料 
FE 要 都 吓 多 媒 笨 赠 案 


<S 


使 用 浏览 器 上 网 


已 辟 上 副 WWW 何 服 和 吏 惊 检 
已 具有 可 供 浏 临 的 资料 


图 20.1-1、WWW 服务 器 与 客户 问 浏 贤 器 之 同 的 联机 相关 性 
从 上 面 的 图 示 当 中 ， 我 们 大 概 可 以 得 到 一 些 观念 : 


0D WWW 服务 器 不 但 需要 一 个 可 让 客户 端 浏览 的 平台 ， 还 需要 提供 客 
户 闪 一 些 数 


据 才 行 ! 
D 服务 恬 所 提供 的 最 主要 数据 是 超 文件 卷 标 语言 (Hyper Text Markup 


Language, HTML)、 多 媒体 档案 (图 片 、 影 像 、 声 音 、 文 字 等 ， 都 属于 
多 媒体 或 


称 为 超 媒 体 ) 。 


0D HTML 只 是 一 些 纯 文 本 数据 ， 透 过 所 谓 的 卷 标 (<tag>) 来 规范 所 要 显 
示 的 数 


据 格 式 ; 


0 在 客户 端 ， 透 过 浏览 器 的 对 HTML 以 及 多 媒体 的 解析 ， 最 后 呈现 在 
用 户 的 屏 


幕 上 。 
0 
HTML 的 格式 


如 上 所 提 到 的 相关 信息 ， 我 们 知道 服务 器 端 需 要 提供 客户 站 一 些 数 
据 ， 而 这 些 数 据 


其 实 主 要 都 以 HTML 的 格式 来 呈现 的 。 那 么 什么 是 HTML 呢 ? 我 们 
拿 乌 哥 的 网 站 来 看 一 


下 好 了 。 你 可 以 使 用 任何 一 个 浏览 絮 连 结 到 http:/linux.ybird.org， 然 
和 车 其 于 芯 


页 面 上 按 下 鼠标 右键 ， 选择 察看 原始 码 ， 你 束 能 发 现 该 网 页 是 如 何 写 
成 的 了 。 


<IDOCTYPE html PUBLIC "-/W3C/DTD XHTML 1.0 Transitional//EN" 
"http:/www.w3.org/TR/xhtml1/DTD/xhtmll1-transitional.dtd"> 
<html xmlns="http:/www.w3.org/1999/xhtml" xml:lang="zh-TW" 


lang="zh-TW"> 


<head> 
… 一 些 此 页 面 的 信息 解释 的 标 关 数据， 例如 title 与 整体 化 设计 等 等 ..… 
</head> 
<body style="margin:0; padding:0"> 

… 在 浏览 器 显示 的 画面 中 ， 实 际 放置 在 浏 咒 器 上 面 的 数据 则 写 于 此 ..… 
</body> 
</html> 
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HTML 之 所 以 被 称 为 卷 标语 言 就 如 同上 面 的 表格 所 示 ， 他 是 由 很 多 
<tag> 所 组 成 的 ， 除 


了 <!DOCTYPE> 的 部 分 是 在 宣告 底下 的 语法 应 该 用 第 几 版 的 HTML 
解析 之 外 ，HTML 主 


要 十 由 <html> </html> 所 包含 起 来 ， 而 在 其 中 又 分 为 两 大 区 块 ， 一 个 
征 与 标 头 有 关 


的 <head> </head> 区 块 ， 包括 该 网 页 所 使 用 的 编码 格式 与 抬头 等 等 。 
一 部 份 则 是 


<body> </body> 所 含有 的 实际 网 页 内 容 数 据 啦 。 


HTML 不 在 本 文 的 介绍 内 ， 你 可 以 在 市 面 上 找到 很 多 相关 的 书籍 。 而 
传统 的 HTML 4 


实际 上 已 经 不 足以 满足 某 些 类 工人 员 及 程序 设计 师 的 需求 ， 因 此 ， 目 
前 还 有 改善 HTML 


显示 的 CSS 样式 表单 ， 可 以 让 很 多 程序 互相 取 用 的 XML， 还 有 最 新 
一 代 的 HTML5 等 


等 ， 都 值得 参考 喔 。 
0 
WWW 所 用 的 协议 及 WWW 服务 器 简 史 -- 就 是 讲 古 时 间 


知道 了 WWW 的 serverclient 架构 后 ， 再 来 我 们 要 讨论 的 是 ， 那 
WWW 是 怎么 来 


的 啊 ? 伯 纳 斯 - 李 (Tim Berners-Lee) 在 1980 年 代为 了 更 有 效率 的 让 欧 
洲 核 物理 实 


验 宇 的 科学 家 可 以 分 至 及 更 新 他 们 的 研究 成 果 ， 于 十 他 发 展 出 一 个 超 
文件 传输 协议 


(Hyper Text Transport Protocol, HTTP)。 如 同 前 面 提 到 的 ， 在 这 个 协议 
上 面 的 服务 


如 需要 软件 ， 而 客户 问 则 需要 浏览 右 来 解析 服务 右 所 提供 的 数据 。 那 
么 这 些 软件 直 么 


来 的 ? 


为 了 让 HTTP 这 个 协议 得 以 顺利 的 应 用 ， 大 约 在 90 年 代 初 期 由 伊利 诺 
大 学 的 国家 


超级 计算 机 应 用 中 心 (NCSA, http:/www.ncsa.illinois.edw/) 开发 出 服务 
器 HTTPd 


(HTTP daemon 之 意 )。HTTPd 为 目 由 软件 ， 所 以 很 快 的 领导 了 WWW 
服务 器 市 场 。 后 来 


网 景 通讯 (Netscape) 开发 出 更 强大 的 服务 需 与 相对 应 的 客户 端 浏 览 
右 ， 那 承 是 大 家 曾 


经 熟悉 的 Netscape 这 套 软 件 啦 。 这 套 软 件 分 为 服务 器 与 浏览 器， 其 中 
浏 咒 器 相 对 便宜 ， 


不 过 服务 器 可 就 贵 的 吓人 了 。 所以， 在 服务 絮 市 场 上 主要 还 是 以 
HTTPd 为 主 的 。 


后 来 由 于 HTTPd 这 个 服务 磊 一 直 没 有 妥善 的 发 展 ， 于 是 一 群 社 群 朋友 
便 发 起 一 个 


计划 ， 这 个 计划 主要 在 改善 原本 的 HITPd 服务 器 软件 ， 他 们 称 这 个 改 
民 过 的 软件 为 


Apache， 取 其 『 一 个 修 修改 改 的 服务 絮 (A patch server)4 的 双关 语 | 
人 和信 ! 这 个 Apache 


在 1996 年 以 后 便 成 为 WWW 服务 器 上 市 占 率 最 高 的 软件 了 


LD 
浏 时 姨 (browser) 大 战 与 支持 的 标准 


虽然 WWW 越 来 越 重 要 ， 但 相对 的 来 说 ， 客 户 端 如 果 没 有 浏览 融 的 话 
那么 他 们 当然 


就 无 法 去 浏览 WWW 服务 器 所 提供 的 数据 。 为 了 抢占 浏览 器 的 市 占 
率 ， 于 是 在 90 年 代 


末期 微软 将 正 浏览 器 内 建 在 Windows 操作 系统 内 ， 此 一 决定 也 让 当 
时 相当 广泛 使 用 
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的 Netscape 浏览 需 (Navigator) 市 占 率 急速 下 降 。 后 来 网 景 公司 在 
1998 年 左右 将 


浏览 器 的 原始 码 部 分 开放 成 为 自由 软件 ， 采 用 Mozilla 通用 授权 
(MPL) 。 


Mozilla (http:/www.mozilla.org/) 这 个 计划 所 开发 的 软件 可 不 止 浏览 器 
而 已 


3 


还 包括 邮件 处 理 软件 及 网 页 编辑 软件 等 等 。 当 然 啦 ， 其 中 最 出 名 的 就 
征 浏 览 亏 软件 『 火 


狐狸 (firefox)4 啦 ! 那 这 玩意 儿 与 了 下 有 只 不同 ?” 由 于 正 是 整合 在 
Windows 操作 


系统 核心 内 ， 加 上 改版 的 幅度 太 慢 ， 甚 至 下 使 用 的 HTML 标准 语法 
解析 行为 都 是 微 


软 目 定义 的 标准 ， 并 不 全 然 符 合 因特网 上 的 标准 规范 (w3C， 
http:/www.w3.org/) ， 


导致 服务 怖 端 所 提供 的 数据 并 无 法 在 所 有 的 浏览 右上 都 显示 出 相同 的 
样式 ， 而且 客 户 


端 也 容易 受到 网 络 攻击 。 


所 以 执 


行 效 能 上 面 非常 的 快速 ， 此 外 ， 对 于 超 文 件 的 解析 上 面 ， firefox 主要 
依据 w3c 所 制 


订 的 标准 来 发 展 的 ， 所 以 任何 以 w3c 的 标准 开发 的 网 站 ， 在 firefox 上 
面 束 能 够 得 到 


设计 者 所 希望 的 样式 ! 目前 firefox 已 经 针对 市 面 上 最 常见 到 的 
Windows/Linux/Unix 


等 操作 系统 来 进行 支持 ， 大 家 可 以 多 多 使 用 喔 ! ^ 


而 为 了 加 快 javascript 的 程序 运作 ， 并 且 加 快 浏览 的 速度 ，Google 目 
己 也 推出 


一 个 浏览 器 ， 称 为 chrome 浏览 器， 这 个 浏 咒 絮 就 如 google 的 搜索 引 
擎 一 般 ， 强 调 


的 就 是 快速 ! 快速 ! 更 快速 ! 因此 ， 如 果 你 想 要 浏览 器 不 要 花花 绿 
绿 ， 就 是 风格 简约， 


强调 速度 感 ， 那 么 google 的 这 个 chrome 目 由 软件 浏 贤 絮 也 可 以 玩 玩 
时 1 


由 上 面 的 介绍 我 们 可 以 稍微 归纳 一 下 : 


0 WWW 是 依据 HTTP 这 个 协议 而 来 的 ， 分 为 服务 辟 端 与 客户 端 ; 
0 De 是 一 个 服务 器 端的 软件 ， 主 要 依据 NCSA 的 HTTPd 服务 器 发 
展 而 来 ， 


为 目 由 软件 ; 


ea 是 一 个 目 由 软件 的 开发 计划 ， 其 中 firefox 浏 贤 絮 是 相当 成 功 


作品 。 


I 自己 的 网 页 数据 时 ， 尽 量 使 用 W3C 所 发 布 的 标准 ， 这 样 在 所 
9 浏 


虎 大 上 面 才 能 够 顺利 的 显示 出 你 想 要 的 样子 。 
20.1.2 WWW 服务 絮 与 浏 蜗 右 所 提供 的 资源 设 定 (URL) 


现在 我 们 知道 WWW 服务 器 的 重点 是 提供 一 些 数据 ， 这 些 数据 必需 要 
是 客户 端的 济 

响 右 可 以 文 持 显示 才 行 。 那么 这 些 数据 是 什么 类 型 啊 ? 很 简单 啊 ， 当 
然 大 部 分 就 是 档 

案 嗓 。 如 此 说 来 ， 我 们 必需 要 在 服务 器 端 先 将 数据 文件 写 好 ， 并且 放 
置 在 某 个 特殊 的 

目 孙 底下 ， 这 个 目录 就 是 我 们 整个 网 站 的 首页 了 1! 一 般 来 说 ， 这 个 目 
孙 很 可 能 是 在 

/Var/www/html/ 或 者 是 /srwwww/。 我 们 的 CentOS 预 设 在 
/varwwwhtm1l 喔 。 


那么 浏览 器 如 何 取 得 这 个 目录 内 的 数据 呢 ? 你 必需 要 在 浏览 器 的 『 网 
址 列 J 输入 所 


ES 


需要 的 网 址 才 行 。 这 个 网 址 就 对 应 到 WWW 服务 器 的 某 个 档案 档 名 就 
是 了 。 不 过 ,现今 
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的 浏 宽 妮 功 能 实在 很 多 ， 他 不 只 可 以 连 上 WWW ， 还 可 以 连 上 类 似 
FTP 之 类 的 网 络 协议 。 


所 以 你 得 要 在 网 址 列 输入 正确 的 网 址 ， 这 个 网 址 包括 这 样 : 
0 < 协定 >://< 主 机 地 址 或 主机 名 >[:port]/< 目 录 资 源 > 


0 
网 址 列 的 意义 


上 头 就 是 我 们 稼 常 听 到 的 URL (Uniform Resource Locator) 啦 ! 以 斜 线 
作为 分 段 ， 


它 可 以 这 样 被 解释 : 

0 协定: 

浏 哆 器 比较 常 支 持 的 协议 有 http, https, ftp, telnet 等 等 ， 还 有 类 似 news,， 
gopher 等 ”这 个 协议 在 告知 浏 贤 郁 下 请 你 利用 此 一 协议 连接 到 服务 硕 
思 。 举 例 来 说， 如 于 你 下 达 :， http://ftp.ksu.edu.tw 这 表示 浏览 絮 要 连结 
到 昆 

山 科 大 的 http ( 亦 即 port 80) 的 意思 。 如 果 是 ftp://ftp.ksu.edu.tw 则 代 
0 ftp (port 21) 啦 ! 因为 使 用 的 协议 不 同 ， 所 以 当然 响应 的 数据 


ee 。 不 过 ， 万 一 对 方 服务 器 的 坊 口 启动 在 非 正规 的 坊 号 ， 例 如 将 
http 局 


动 在 port 81 时 ， 那 你 就 得 要 这 样 写 : http:/hostname:81/。 
0 主机 地 址 或 主机 各: 


距 古 服务 器 在 因特网 所 在 的 IP 位 置 。 如 末 是 主机 名 的 话 ， 当 然 得 要 透 
过 名 称 解 


析 器 嘿 ! 一 般 来 说 ， 虽 然 使 用 IP 就 能 够 架设 WWW 网 站 ， 不 过 建议 
你 还 是 申请 


一 个 好 记 又 合法 的 主机 名 比较 好 ! 
0 目 永 唤 源 : : 


刚刚 不 是 提 到 首页 的 目 孙 吗 ? 在 自 页 目 如 下 的 相对 位 置 就 是 这 个 目录 
俯 源 啦 。 


举例 来 说 ， 乌 哥 的 网 站 www 数据 放置 在 我 主机 的 /var/www/html/ 当 
中 ， 所 以 


说 : 


o http://inux.vbird.org --> /var/www/html/ 
o http://inux.vbird.org/linux_basic/index.php --> 


/var/ www/html/linux_basic/index.php 


另外 ， 通 钊 首页 目 孙 撒 下 会 有 个 特殊 的 文件 名 ， 例 如 index.html 或 


index.??? 
等 。 举 例 来 说 ， 如 果 你 直接 按 下 : ”http://linux.vbird.org 会 发 现 其 实 与 


http://linux.vbird.org/index.php 是 一 样 的 ! 这 是 因为 WWW 服务 絮 会 主 
动 


的 以 该 目 永 下 的 首页 4 来 显示 了 图 
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0 


所 以 啦 ， 我 们 的 服务 占 会 由 于 浏览 右 传 来 的 要 求 协 议 不 同 而 给 予 不 一 
样 的 啊 应 数据 。 


那 你 了 解 到 网 址 列 的 意义 了 吗 ? 
D 
WWW server/client 则 数据 传输 的 方式 


如 琳 浏 咒 妖 是 以 http://hostname 的 型 态 来 回 服务 如 要 数据 时 ， 那 么 浏 宽 
研 与 服 


务 器 端 是 如 何 传递 数据 的 呢 ? 基本 上 有 这 几 种 方法 : 
0 GET 


忠 是 浏 蜗 占 直接 同 WWW 服务 人 右 要 求 网 址 列 上 面 的 资源 ， 这 也 是 最 秆 
Ua 


使 用 GET 的 方式 可 以 直接 在 网 址 列 输入 变量 咀 。 举 例 来 说 ， 马 哥 的 讨 
论 区 有 一 


篇 提问 的 稼 慧 ， 他 的 网 址 古 : 


发 现 那 个 ?t=96 了 吗 ? t 就 是 变量 ，96 网 是 这 个 变量 的 内 容 。 如 采 你 
将 问号 


后 面 的 数据 拿 挥 时 ， 瞧 瞧 会 出 现 什 么 后 果 ? 这 么 说 ， 你 可 以 明日 GET 
的 处 理 了 


吧 ? 


LPOST 


这 也 是 客户 问 问 服务 卓 并 提 出 的 要 求 ， 只 是 这 个 要 求 里 面 合 有 比较 多 
的 数据 就 是 


了 。 举例 来 说 ， 讨 论 区 里 面 不 是 第 第 有 留言 的 移 项 吗 ， 如 琳 你 选择 留 
言 的 话 不 


苹 会 在 浏 唤 紫 冒 出 一 个 框框 让 你 填 入 资料 吗 ! 当 按 下 传送 后 ， 那 些 杠 
框 内 的 数 


据 就 会 被 浏览 器 包 起 来 传送 至 WWW 服务 器 了 。 POST 与 GET 不 相同 
喔 ，GET 可 


0 
J 功能 了 。 


0 HEAD 
服务 器 端 响应 给 Client 端的 一 些 数据 文件 头 而 已 ; 
0 OPTIONS 


服务 器 问 啊 应 给 Client 端的 一 些 允 许 的 功能 与 方法 ; 


会 使 用 到 POST 这 个 项 目 。 你 还 是 得 需要 注意 一 下 这 些 举动 ， 因 为 后 
9 登录 档 分 析 


内 容 都 是 使 用 这 种 动作 来 分 析 的 哟 


20.1.3 WWW 服务 器 的 类 型 : 系统、 平台、 数据库 与 程序 (LAMP) 


NS 
光 
ET 


以 目前 的 网 络 世 界 来 说 ， 市 占 率 较 高 的 WWW 服务 器 软件 应 该 是 
Apache 与 IIS 这 


两 个 玩意 儿 ， Apache 是 自由 软件 ， 可 以 在 任何 操作 系统 上 面 安 装 的 ， 
至 于 IIS 则 是 
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使 用 音 辟 求 或 上 体 资 料 
一 一 一 一 一 
根 冰 杀 责 种 式 部 行 的 这 果 
< S 加 祁 


鹏 端 使 用 想 似 PHP 程 
式 与 局 用 者 对 就 


] 者 对 


夷 沉 责 料 率 介 面 取 


得 随时 更 虹 的 次 六 


Windows 家 族 开发 出 来 的 ， 仅 能 在 Windows 操作 系统 上 面 安装 与 执 
行 。 由 于 操作 系统 


平台 不 一 样 ， 所 以 其 上 安 净 的 软件 当然 也 不 相同 。 底下 融 让 我 们 来 聊 
一 聊 目 前 网 站 的 


一 些 特色 吧 | 
0D 
仅 提 供用 户 浏览 的 单 向 静态 网 页 


这 种 类 型 的 网 站 大 多 是 提供 『 单 向 静态 J 的 网 页 ， 或 许 有 提供 一 些 动 
画图 示 ， 但 基 


本 上 就 仅 止 于 此 啦 ! 因为 单纯 是 由 服务 器 单 辐 提供 数据 给 客户 端 ， 
Server 不 需要 与 

Client 端 有 互动 ， 所 以 你 可 以 到 该 网 站 上 去 浏览 ， 但 是 无 法 进行 进行 
数据 的 上 传 喔 ! 


目前 主要 的 免费 虚拟 主机 大 多 是 这 种 类 型 。 所 以 ， 你 只 要 依照 HTML 
的 语法 写 好 你 的 网 


， 并 且 上 传 到 该 网 站 空间 上 ， 那 么 你 的 数据 就 可 以 让 大 家 浏览 了 
0 
提供 用 户 互动 接口 的 动态 网 站 


这 种 类 型 的 网 站 可 以 让 服务 闫 与 使 用 着 互动 ， 前 见 的 例如 讨论 区 论坛 
与 留言 版 ， 包 


括 一 些 部 落 格 也 都 是 属于 这 类 型 。 这 类 型 的 网 站 需要 的 技术 程度 比较 
高 ， 因 为 他 是 冰 


由 『 网 页 程 | ee 言 」 米 达成 与 使 用 者 互动 的 行为 ， 常 见 的 例如 PHP 网 
页 程 厚 语言 ， 


MySQL 数据 库 系统 来 进行 数据 的 读 、 写 。 整 个 互动 可 以 使 用 下 图 来 
说 明 : 
图 20.1-2、 动 态 网 站 的 网 页 程序 语言 与 数据 库 接 口 


这 了 束 是 所 谓 的 服务 需 端 工作 任务 接口 (Server Side Include, SST)， 因 为 不 
论 你 


要 求 的 数据 是 什么 ， 其 实 都 是 透 过 服务 器 端 同一 文 网 页 程序 在 负责 将 
数据 读 出 或 写 入 数 


据 库 ， 处 理 完毕 后 将 结果 传 给 客户 端的 一 种 方式 ， 变 动 的 是 数据 库 内 
的 数据 ， 网 页 程 


序 其 实 并 没有 任何 改变 的 。 这 部 份 的 网 页 程序 包括 PHP, ASP Perl... 很 


多 啦 ! 


另外 一 种 交互 式 的 动态 网 页 主要 是 在 客户 闪 达 成 的 ! 举例 来 说 ， 我 们 
可 以 透 过 利用 


所 请 的 Java scripts 这 种 语法 ， 将 可 执行 的 程序 代码 (java scripb 传送 给 
客户 端 ， 


客户 端的 浏览 器 如 果 有 提供 java script 的 功能 ， 那么 该 程序 就 可 以 在 
客户 端的 计算 


机 上 面 运作 了 。 由 于 程序 是 在 客户 端 计算 机 上 执行 ， 因 此 如 采 服 务 器 
端 所 制作 的 程序 


是 恶意 的 ， 那 么 客户 端的 计算 机 就 可 能 会 遭 到 破坏 。 这 也 是 为 啥 很 多 
浏 硕 需 都 已 经 将 


一 些 危险 的 java script 关闭 的 原因 。 
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另外 一 种 可 在 客户 端 执行 的 就 是 flash 动画 格式 ， 在 这 种 动画 格式 内 还 
可 以 进行 


程序 设计 ， 因此 客户 端 只 要 拥有 可 以 执行 flash 动画 的 软件 ， 那 就 可 以 
利用 这 个 软件 


来 达到 交互 式 的 对 谈 。 这 些 都 算是 动态 网 站 所 提供 的 功能 喔 ! 


从 上 面 的 说 明 你 可 以 知道 动态 网 站 是 目前 比较 热门 的 ， 像 是 近 两 年 来 
如 同 南 后 春 穷 


一 般 冒 出 来 的 个 人 部 落 格 (blog) 就 是 很 经 典 的 动态 网 站 之 一 。 而 由 图 
20.1-2 我 们 也 


知道 要 做 成 这 样 的 动态 网 站 你 必需 要 有 : 
0 文 持 的 操作 系统 : 让 所 需要 的 软件 都 能 够 安装 执行 啊 ; 


WWW 服务 器 : 例如 Apache 与 HS 等 WWW 服务 器 平台 软 


0 网 页 程序 语言 : 包括 perl, PHP, JSP, CGIL ASP 等 等 都 算是 啦 ! 


0 数据 储存 之 数据 库 系统 : 包括 MySQL, MSSQL, PostgreSQL 以 及 甲骨 
文 


(Oracle) 等 等 。 
LAMP 平台 的 说 明 


在 整个 平台 设计 上 面 ， 目 前 常见 的 有 两 大 系统 ， 一 个 古 Linux 操作 系 
统 上 面 ， 搭 


配 Apache + MySQL + PHP 等 而 达成 ， 这 个 系统 被 称 为 LAMP。 男 一 个 
则 是 微软 的 IS + 


MSSQL + ASP (.NET) 服务 器 。 在 能 见 度 与 市 占 紊 方面， 应 该 还 是 以 
LAMP 为 主 吧 ! 在 


LAMP 里 面 除 了 Linux 之 外 ， 其 他 三 个 小 东西 就 让 我 们 来 谈 谈 先 : 


1995 年 以 前 就 有 很 多 的 WWw 服务 器 软件 ， 其 中 以 HTTPd 占有 素 和 
高 。 后 3 


HTTPd 经 过 多 次 具 虫 的 修订 后 ， 才 在 1995 年 后 发 布 Apache (A patch 
server) 


的 啦 ! 这 东西 就 是 主要 提供 WWW 的 服务 器 平台 ， 后 面谈 到 的 PHP 必 
须要 在 这 玩 


意 儿 上 才能 运作 |! 


传统 的 档案 读 取 是 很 麻烦 的 ， 如 采 你 只 要 读 取 该 档案 当中 的 一 小 部 


分 ， 系 统 还 是 


会 将 整个 档案 读 出 来 ， 大 又 有 多 人 同时 读 取 同一 个 档案 时 ， 那 束 会 造 
成 效能 与 


系统 上 的 问题 ， 所 以 才 会 有 数据 库 系 统 的 推出 。 数据 库 其 实生 一 种 特 
殊 格式 的 


档案 ， 这 种 档案 必需 要 透 过 特殊 接口 (数据 库 软 件 ) 来 进行 读 写 。 由 于 
这 个 特殊 


接口 已 经 针对 数据 的 查询 、 写 入 做 过 优化 设计 ， 因 此 很 适合 多 人 同时 
写 人 


写 入 与 得 
询 的 工作 。 


， 数据 库 的 语法 有 所 谓 的 SQL 标准 语法 ， 任 何 根据 这 种 数据 检索 语 
法 发 展 出 


来 的 数据 库 ， 就 称 为 SQL 数据 库 。 比较 知名 的 自由 软件 数据 库 系统 
MySQL 及 


PostgreSQL ， 其 中 MySQL 的 使 用 率 又 比较 高 一 些 。 MysQL 可 以 透 过 
网 页 程序 


语言 来 进行 读 写 的 工作 ， 因 此 很 适合 例如 讨论 区 、 论 坛 等 的 设计 ， 长 
至 很 多 商 


业 网 站 的 重要 数据 也 是 透 过 MySQL 这 个 数据 库 软件 来 存 取 的 呢 ! 
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/i We 
(OD ea 
> A Ge 
总 


按照 官方 的 说 法 来 说 ，PHP 是 一 个 工具 ， 他 可 以 被 用 来 建立 动态 网 
页 ，PHP 程序 


代码 可 以 直接 在 HTML 网 页 当中 能 入 ， 束 像 你 在 编辑 HTML 网 页 一 
样 的 简单 。 


所 以 说 ， PHP 是 一 种 『 程 序 语言 1 ， 这 种 程序 语言 可 以 直接 在 网 页 当 
中 编写 ， 不 


需要 经 过 编译 即 可 进行 程序 的 执行 。 由 于 具有 :自由 软件 、 跨 平台 、 
容易 学 习 及 


执行 效能 高 等 优点 ， 目前 是 很 热门 的 一 个 设计 网 页 的 吹 噬 喔 ! 你 可 以 
在 市 面 上 


找到 很 多 相关 的 书籍 来 参考 的 。 


Tips: 
事实 上 ， 如 采光 学 会 Linux 与 染 站 ， 

对 你 自己 的 竞争 力 还 是 不 够 的 ， 

可 以 的 话 ， 多 学 一 些 MySQL 的 SQL 语法 ， 以 及 类 似 PHP, JSP 等 
跨 平台 的 网 页 程序 语言 ， 对 你 的 未 来 是 很 有 帮助 的 喔 ! 

20.1.4 https: 加 蜜 的 网 页 数据 (SSL) 及 第 三 方 公正 单位 


关于 HTTP 这 个 传输 协议 当中 ， 你 必需 要 知道 的 是 : 【这 个 传输 协议 
传输 数据 是 以 
明码 传送 的 4， 所 以 你 的 任何 数据 封包 只 要 被 监听 窍 取 的 话 ， 那 么 该 
数据 束 等 于 古 别 
人 的 啦 ! 那 想 一 想 ， 你 有 过 上 线 刷 卡 的 经 验 吗 ? 上 线 刷 卡 只 要 输入 你 
信用 卡 的 卡号 与 


相关 的 截止 日 期 后 ， 束 能 够 进行 交易 了 。 如 采 你 的 数据 在 Internet 上 面 
跑 时 是 明码 


的 情况 下 ， 真 要 命 ! 那 你 的 信用 卡 不 就 随时 可 能 会 被 次 用? 


虽然 大 多 数 Internet 上 面 的 WWW 网 站 所 提供 的 资料 是 可 以 随意 浏览 
的 ， 不 过 如 


同上 面 所 到 的 ， 一 些 物流 交易 网 站 的 数据 以 及 天 于 你 个 人 的 重要 机 密 
数据 当然 就 不 能 


这 样 随意 传送 啦 ! 这 个 时 候 束 有 需要 用 到 https://hostname 这 种 联机 的 
方式 啦 ! 这 


种 方式 是 透 过 SSL 加 密 的 机 制 喔 ! 
0 


Secure Socket Layer (SSL) 


在 
a 


对 称 的 key pair (Public + Private kye) 来 组 成 密 钥 ， 然 后 透 过 公 钥 加 密 后 
传输 ， 传 


输 到 目标 主机 后 再 以 私 钥 来 解密 ， 如 此 一 来 数据 在 Internet 上 面 跑 束 以 
加 密 的 方式 ， 


想当然 尔 ， 这 些 数据 目 然 就 比较 安全 啦 ! SSL 就 是 利用 在 WWW 传输 
上 面 的 加 密 方 式 之 


一 啦 ! 


当 浏 贤 万 端 与 WWW 服务 右 端 同时 文 持 SSL 的 传输 协议 时 ， 在 联机 阶 
段 浏 讽 凑 与 服 


务 器 就 会 产生 那 把 重要 的 密 钥 ! 产生 密 钥 后 束 能 够 利用 浏览 器 来 传送 
与 接收 加 密 过 的 


ml 


重要 数据 啦 ! 要 达成 这 样 的 机 制 ， 你 的 WWW 服务 器 必需 要 局 动 https 
这 个 重要 的 传 


输 协议 ， 而 浏览 器 则 必需 要 在 网 址 列 输入 https:/ 开头 的 网 址 ， 那 两 者 
才能 够 进行 沟 
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通 与 联机 。 要 注意 的 是 ， 在 某 些 很 旧 的 浏览 器 上 面 古 不 支持 SSL 的 ， 
所 以 在 那些 旧 的 


浏 哆 絮 上 就 无 法 达成 https 的 联机 啦 :! 
0 
Certificate Authorities (CA) 


想 一 想 SSL 这 个 机 制 有 什么 问题 ? 他 的 问题 就 是 ，『 那 把 Public key 
是 服务 器 


产生 且 任 何人 都 能 取得 的 」! 这 是 什么 问题 ? 因为 public key 可 让 任何 
人 人 取得， 将 


被 钓鱼 网 站 取得 并 且 制 作 一 个 很 类 似 你 网 络 银行 的 网 站 ， 并 且 骗 你 输 
入 账 密 ， 要 命 了 ! 


因为 你 不 知道 该 网 站 是 诈 统 集团 制作 的 ， 以 为 https 吏 是 安全 的 ， 如 此 
一 来 ， 即 使 你 


的 数据 有 加 密 ， 但 结果 ， 在 钓鱼 网 站 服务 器 端 还 是 能 够 取得 你 输入 的 
帐 密 啊 ! 这 个 时 


候 束 需要 第 三 方 公正 单位 来 帮忙 啦 ! 


所 谓 的 CA 融 是 一 个 公认 的 公正 单位 ， 你 可 以 目 行 产生 一 把 密 铀 且 制 
作出 必要 的 珊 


证 数据 并 向 CA 单位 注册 ( 讲 到 注册 你 就 要 知道 .这 东西 是 要 钱 的 意 
思 ! )， 那 么 当 客 


户 问 的 浏 贤 亏 在 浏 顺 时 ， 该 浏览 亏 会 主动 的 网 CA 单位 确认 该 孝 证 是 
否 为 合法 注册 过 的 ， 


如 果 是 的 话 ， 那么 该 次 联机 才 会 建立 ， 如 果 不 是 呢 ? 那么 浏 咒 器 束 会 
发 出 警告 讯 轧 /An 告 


知 用 户 应 避免 建立 联机 啊 。 所 以 说 ， 如 此 一 来 WWW 服务 器 不 但 有 公 
正 单位 的 育 书 ， 用 


户 在 建立 联机 时 也 比较 有 保障 ! 
更 多 关于 SSL 以 及 CA 的 介绍 ， 可 以 约略 参考 一 下 : 


DApache 的 SSL: http:/www.modssl.org/ 


吕 CA 组 织 之 一 : 


https://digitalid.verisign.comy/serverapacheNotice.htm 


20.1.5 客户 端 常 见 的 浏 贤 絮 


咱们 前 面谈 到 WWW 服务 器 是 Server/Client 的 架构 ， 而 客户 端 使 用 的 
软件 就 是 浏 


pe 人 i 咯 | ! a 前 比较 知名 的 目 由 软件 浏 贤 器 主要 有 两 款 ， 包 括 Mozilla 基 
管理 


firefox (火狐 狸 ) 以 及 Google 自行 推出 的 chrome。 至 于 市 占 率 较 高 的 还 


有 windows 
的 IE。 


由 于 浏览 器 可 以 连结 到 因特网 上 ， 所 以 浏览 器 也 有 可 能 被 攻击 ! 其 中 
由 于 IE 直 


所 以 如 果 下 有 漏洞 时 ， 对 于 系统 的 损 
征 很 大 的 ! 


此 无 论 如 何 ， 请 记得 『 务 必要 随时 更 新 到 最 新 版 本 的 浏览 器 4 才 行 。 
建议 你 可 以 使 用 


firefox 或 chrome 这 些小 巧 玲 玻 的 浏览 器 啊 ! 


除了 窗口 接口 的 浏览 器 软件 之 外 ， 其 实 还 有 几 个 可 以 在 文字 接口 底下 
进行 浏览 与 网 


页 下 载 的 程序 ， 分 别 是 
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必 
0 links 与 lynx:， 文字 接口 的 浏览 器;_ 
0 wget: 文字 接口 下 使 用 来 括 取 档案 的 指令 。 


20.2 WWW (LAMP) 服务 器 基本 设 定 


从 前 面 的 说 明 当 中 ， 我 们 知道 在 Linux 上 面 要 达成 网 页 服务 器 需要 
Apache 这 和 套 


服务 郁 软 件 呐 ! 不 过 Apache 仅 能 提供 最 基本 的 静态 网 站 数据 而 已 ， 想 
要 达成 动态 网 站 


的 话 ， 那 么 最 好 还 是 需要 PHP 与 MySQL 的 支持 才 好 。 所 以 底下 我 们 
将 会 以 LAMP 作为 


安装 与 设 定 的 介绍 ， 加 油 吧 ! 和 和 


20.2.1 LAMP 所 需 软 件 与 其 结构 


既然 我 们 已 经 是 Linux 操作 系统 ， 而 且 使 用 的 是 号 称 完全 兼容 于 Red 
Hat 


Enterprise Linux 的 CentOS 版 本 ， 那 当然 只 要 利用 CentOS 本 号 提供 的 
Apache, 


PHP, MySQL 即 可 ! 不 建议 你 自行 利用 tarball 安装 你 的 LAMP 服务 
器 。 因 为 自行 安装 


不 但 手续 据 烦 ， 而 且 也 不 见得 比 系统 默认 的 软件 稳定 。 除非 你 有 特殊 
的 需求 (例如 你 


的 某 些 Apache 插件 需要 较 高 的 版 本 ， 或 者 是 PHP, MysQL 有 特殊 版 本 
的 需求 )， 否则 


请 使 用 yum 来 进行 软件 的 安装 即 可 。 


那么 我 们 的 LAMP 需要 哪些 东西 呢 ? 你 必需 要 知道 的 是 ，PHP 是 挂 在 
Apache 底下 


执行 的 一 个 模块 ， 而 我 们 要 用 网 页 的 PHP 程控 MySQL 时 ， 你 的 PHP 
束 得 要 文 持 


MySQL 的 模块 才 行 ! 所 以 你 至 少 需 要 底下 几 个 软件 : 
DO httpd (提供 Apache 主 程序 ) 


0 mysql (MySQL 客户 端 程序 ) 

0D mysql-server (MySQL 服务 器 程序 ) 

0 php (PHP 主 程序 含 给 apache 使 用 的 模块 ) 

D php-devel (PHP 的 发 展 工具 ， 这 个 与 PHP 外 挂 的 加 速 软件 有 关 ) 
0 php-mysql (提供 给 PHP 程序 读 取 MySQL 数据 库 的 模块 ) 


要 注意 ， Apache 目前 有 几 种 主要 版 本 ， 包 括 2.0.x, 2.2.x 以 及 2.3.x 等 
等 》 

至 于 CentOS 6.x 则 是 提供 Apache 2.2.x 这 个 版 本 啦 。 如 果 你 没有 安装 
的 话 ， 请 直接 

使 用 yum 或 者 是 原本 光盘 来 安装 移 : 

# 安装 必要 的 LAMP 软件 : php-devel 可 以 先 忽略 ~ 

[root@Owww ~]# yum install httpd mysql mysql-server php php-mysql 
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先 来 了 解 一 下 Apache 2.2.x 这 个 版 本 的 相关 结构 ， 这 样 才能 够 知道 如 何 
处 理 我 们 的 网 


页 数据 啊 ! 
DO /etc/httpd/conf/httpd.conf (主要 配置 文件 ) 


httpd 最 主要 的 配置 文件 ， 其 实 整个 Apache 也 不 过 就 是 这 个 配置 文件 
啦 ! 里 面 


真是 包 山 包 海 啊 ! 不 过 很 多 其 他 的 distribution 都 将 这 个 档案 拆 成 数 个 
小 档案 


分 别管 理 不 同 的 参数 。 但 是 主要 配置 文件 还 是 以 这 个 档 名 为 主 的 ! 你 
只 要 找到 


这 个 档 名 惑 知 道 如 何 设 定 啦 ! 
D /etc/httpd/conf.d/*.conf (很 多 的 额外 参数 档 ， 扩 展 名 是 .conf) 
如 果 你 不 想 要 修改 原始 配置 文件 httpd.conf 的 话 ， 那 么 可 以 将 你 自己 的 


额外 参 


数 档 独 立 出 来 ， 例如 你 想 要 有 目 己 的 额外 设 定 值 ， 可 以 将 他 写 入 


/etc/httpd/conf.d/vbird.conf (注意 ， 扩 展 名 一 定 是 .conf 才 行 ) 而 启动 


Apache 时 ， 这 个 档案 就 会 被 读 入 主要 配置 文件 当中 了 ! 这 有 什么 好 
处 ? 好 处 束 


征 当 你 系统 升级 的 时 候 ， 你 几乎 不 需要 更 动 原本 的 配置 文件 ， 只 要 将 
你 目 己 的 


额外 参数 档 复 制 到 正确 的 地 点 即 可 ! 维护 更 方便 啦 ! 
L /usrAib64/httpd/modules/, /etc/httpd/modules/ 


Apache 文 持 很 多 的 外 挂 模块 ， 例 如 php 以 及 ssl 都 是 apache 外挂 的 一 
种 喔 ! 


所 有 你 想 要 使 用 的 模块 档案 默认 是 放置 在 这 个 目录 当中 的 ! 


DL /var/rwww/html/ 
这 就 是 我 们 CentOS 默认 的 apache 『 首 页 4 所 在 目录 啦 ! 当 你 输入 


Thttp://localhost4 时 所 显示 的 数据 ， 束 是 放 在 这 个 目录 当中 的 百 页 文 
件 ( 预 


设 为 index.html)。 


[| /Var/www/error/ 


如 膝 因 为 服务 占 设 是 错误 ， 或 者 是 浏 蜗 右 端 要 求 的 数据 错误 时 ， 在 浏 
览 絮 上 出 更 


的 错误 讯 居 就 以 这 个 目录 的 默认 讯 居 为 主 ! 
[| /Var/www/icons/ 


目录 提供 Apache 默认 给 予 的 一 些小 图 示 ， 你 可 以 随意 使 用 啊 ! 当 
尔 输 入 


fFhttp://localhost/icons/4 时 所 显示 的 数据 所 在 。 


0 /Var/www/cgi-bin/ 

默认 给 一 些 可 执行 的 CGI (网 页 程序 ) 程序 放置 的 目录 ; 当 你 输入 
Thttp://localhost/cgi-bin/J 时 所 显示 的 数据 所 在 。 

0 /var/log/httpd/ 


预 设 的 Apache 登录 档 都 放 在 这 里 ， 对 于 流量 比较 大 的 网 站 来 说 ， 这 个 
目录 要 很 


， 因为 以 乌 哥 网 站 的 流量 来 说 ， 一 个 星期 的 登录 文件 数据 可 以 大 
到 


700MBytes 至 1GBytes 左右 ， 所 以 你 务必 要 修改 一 下 你 的 logrotate 让 
登录 档 


被 压缩 ， 人 否则 .… 
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[ /usr/sbin/apachectl 


这 个 就 是 Apache 的 主要 执行 档 ， 这 个 执行 档 其 实 是 shell script 而 已 ， 
他 


可 以 主动 的 侦 测 系统 上 面 的 一 些 设 定 值 ， 好 让 你 局 动 Apache 时 更 简 
单 ! 


[ /usr/sbin/httpd 
呵呵 ! 这 个 才 是 主要 的 Apache 二 进 制 执 行文 件 啦 ! 
DO /usr/bin/htpasswd (Apache 密码 保护 ) 


在 某 些 网 页 当 你 想 要 登入 时 你 需要 输入 账号 与 密码 对 吧 ! 那 Apache 本 
号 束 提 供 


一 个 最 基本 的 密码 保护 方式 ， 该 密码 的 产生 就 是 透 过 这 个 指令 来 达成 
的 ! 相关 


的 设 定 方式 我 们 会 在 WWW 进 阶 设 定 当 中 说 明 的 。 
至 于 MySQL 方面 ， 你 需要 知道 的 几 个 重要 目录 与 档案 有 : 
[ /etc/my.cnf 


这 个 是 MySQL 的 配置 文件 ， 包 括 你 想 要 进行 MySQL 数据 库 的 优化 ， 
或 者 是 针对 


MySQL 进行 一 些 额外 的 参数 指定 ， 都 可 以 在 这 个 档案 里 面 达成 的 ! 
DAvarvlib/mysql/ 


这 个 目录 则 是 MySQL 数据 库 档 案 放 置 的 所 在 处 啦 ! 当 你 有 启动 任何 
MySQL 的 服 


务 时 ， 请 务必 记得 在 备份 时 ， 这 个 目录 也 要 完整 的 备份 下 来 才 行 啊 ! 
另外 ,在 PHP 方面 呢 ， 你 应 该 也 要 知道 几 个 档案 喔 : 
D /etc/httpd/conf.d/php.conf 


那 你 要 不 要 手动 将 该 模块 写 入 httpd.conf 当中 ? 不 需要 的 ， 因 为 系统 
动 将 


PHP 设 定 参 数 写 入 这 个 档案 中 了 ! 而 这 个 档案 会 在 Apache 重新 局 动 
时 被 读 入 ， 


所 以 OK 的 啦 ! 
LD /etc/php.ini 
束 是 PHP 的 主要 配置 文件 ， 包 括 你 的 PHP 能 不 能 允许 使 用 者 上 传 档 


案 ? 能 不 能 


允许 某 些 低 安全 性 的 标志 等 等 ， 都 在 这 个 配置 文件 当中 设 定 的 啦 


DU /usrAib64/httpd/modules/libphp5.so 


PHP 这 个 软件 提供 给 Apache 使 用 的 模块 ! 这 也 是 我 们 能 否 在 Apache 
网 页 上 面 


设计 PHP 程序 语言 的 最 重要 的 吃 吃 ! 务必 要 存在 才 行 ! 
[| /etc/php.d/mysql.ini, /usr/lib64/php/modules/mysgl.so 


你 的 PHP 是 否 可 以 支持 MySQL 接口 呢 ? 就 看 这 两 个 东西 啦 ! 这 两 个 
吃 噬 是 由 


php-mysql 软件 提供 的 呢 ! 
LD /usr/bin/phpize, /usr/include/php/ 
如 有 果 你 未 来 想 要 安装 类 似 PHP 加 速 器 以 让 浏览 速度 加 快 的 话 ， 那 么 这 


个 档案 与 


日 系 吏 得 要 存在 ， 否则 加 速 紫 软件 可 无 法 编译 成 功 喔 ! 这 两 个 数据 也 
证 


php-devel 软件 所 提供 的 啦 ! 
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基本 上 我 们 所 需要 的 几 个 软件 他 的 结构 就 是 这 样 啦 ! 上 面 提 到 的 是 Red 
Hat 系统 


(RHEL, CentOS, FC) 所 需 的 数据 ， 如果 是 SuSE 或 其 他 版 本 的 数据 ， 
请 依照 你 的 


distribution 管理 软件 的 指令 (rpm 或 dpkg) 去 查询 一 下 ， 应 该 就 能 够 知 
道 各 个 重 


要 数据 放置 在 哪里 啦 ! 这 些 数据 很 重要 ， 你 必需 要 对 放置 的 地 点 有 点 
概念 才 行 喔 ! 


20.2.2 Apache 的 基本 设 定 


在 开始 设 定 Apache 之 前 ， 你 要 知道 由 于 主机 名 对 于 WWW 是 有 意义 
的 ， 所 以 虽然 


利用 IP 也 能 架设 WWW 服务 器 ， 不 过 建议 你 还 是 申请 一 个 合法 的 主 
机 名 比较 好 。 如 


果 是 暂时 测试 用 的 主机 所 以 没有 主机 名 时 ， 那 么 至 少 确 定 测试 用 主机 
名 为 localhost 


且 在 你 的 /etwhosts 内 需要 有 一 行 : 
[root@www ~]# vim /etc/hosts 
127.0.0.1 localhost.localdomain localhost 


这 样 在 局 动 你 的 Apache 时 才 不 会 发 生 找 不 到 完整 主机 名 (FQDN) 的 错 
误 讯 轧 。 此 外 ， 


Apache 只 是 个 服务 器 平台 而 已 ， 你 还 需要 了 解 HTML 以 及 相关 的 网 页 
设计 语法 ， 如 此 
才能 丰富 你 的 网 站 。 对 于 想 要 设计 网 页 的 朋友 来 说 ， 应 用 软件 或 许 是 
很 好 入 | ]， 不 过 


想 要 完整 的 了 解 网 站 设计 的 技巧 ， 还 是 研究 一 下 基础 的 HTML 或 CSS 
比较 妥当 。 


如 果 你 真 的 对 于 一 些 基 础 语法 有 兴趣 ， 并 且 也 想 要 开发 一 些 所谓 的 
[无 障碍 网 页 空 


间 J 的话， 那么 可 以 造访 一 下 http://www.w3c.org 所 列举 的 标准 语法 ， 
或 者 是 行政 院 


的 无 障碍 网 页 空间 申请 规范 (http:/www.webguide.nat.gov.tw) 相信 会 有 
所 收获 的 


啦 | 


终于 要 来 谈 一 谈 如 何 设 定 Apache 这 个 httpd.conf 配置 文件 了 ! 再 次 强 
调 ， 每 个 


distribution 的 这 个 档案 内 容 都 不 很 相同 ， 所 以 你 必需 要 目 行 找 出 相关 的 
配置 文件 才 


那么 这 个 httpd.conf 的 设 定 为 何 呢 ? 他 的 基本 设 定格 式 是 这 样 


< 设 定 项 目 > 
此 设 定 项 目 内 的 相关 参数 
</ 设 定 项 目 > 


举例 来 说 ， 如 采 你 想 要 针对 我 们 的 首页 /Var/www/html/ 这 个 目录 提供 
一 些 额外 的 功能 ， 


A 
<Directory "/var/ www/html"> 
Options Indexes 
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</Directory> 


几乎 都 是 这 样 的 设 定 方式 喔 ! 特别 留意 的 是 ， 如 果 你 有 额外 的 设 定 
时 ， 不 能 随便 在 


httpd.conf 里 头 找 地 方 写 入 ! 否则 如 采 刚 好 写 在 <Directory>.… 
</Directory> 里 面 ， 


呼 呼 ! 那么 就 会 发 生 错 误 啦 ! 需要 前 前 后 后 的 找 一 找 喔 ! 或 者 是 在 档 
案 的 最 后 面 加 入 


也 行 ! 好 啦 ， 故 下 明 们 先 来 聊 一 聊 Apache 服务 夯 的 基础 设 定 吧 


Tips: 

事实 上 在 Apache 的 网 页 有 提供 很 多 详细 的 文件 资料 ， 真 的 是 很 详 
细 啦 ! 乌 哥 在 确 下 仅 是 介绍 一 些 惯 用 的 设 定 项 目的 意义 而 已 。 有 兴 
趣 的 话 ， 请 务必 要 前 往 查 阅 : 


Apache 2.2 核心 文件 : 


0 
针对 服务 句 环 境 的 设 定 项 目 


Apache 针对 服务 句 环 境 的 设 定 项 目 方 面 ， 包 括 啊 应 给 客户 并 的 服务 右 
软件 版 本 、 


主机 名 、 服务 大 配置 文件 顶层 目 孙 等 。 底 下 明 们 束 来 谈 一 谈 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
ServerTokens OS 


# ~ 目 在 仅 告 知客 户 端 我 们 服务 器 的 版 本 与 操作 系统 和 而已， 不 需要 
更 亏 


| 

# 如 采 不 在 乎 你 系统 的 信息 被 远程 的 用 户 查询 到 ， 
则 可 以 将 这 个 项 目 批注 挥 即 

可 (不 建议 ) 

ServerRoot "/etc/httpd" 


# 服务 器 设 定 的 最 顶层 目 隶 ， 有 点 类 似 chroot 那 种 感觉 。 包 括 logs,， 


modules 

# 等 等 的 数据 都 应 该 要 放置 到 此 目录 底下 ( 若 未 宣告 成 绝对 路 径 时 ) 
PidFile run/httpd.pid 

# 放置 PID 的 档案 ， 可 方便 Apache 软件 的 管理 啦 ! 只 有 相对 路 径 吧 | 


# 考虑 ServerRoot 设 定 值 ， 所 以 档案 在 /etc/httpd/run/httpd.pid ! 


Timeout 60 

# 不 论 接收 或 传送 ， 当 持续 联机 等 待 超过 60 秒 则 该 次 联机 就 中 断 。 
# 一 般 来 说 ， 此 数值 在 300 秒 左 右 即 可 ， 不 需要 修改 这 个 原始 值 啦 。 
KeepAlive On <== 最 好 将 预 设 的 Off 改 为 On 啦 ! 


0 亦 即 一 个 TCP 联机 可 以 具有 多 个 档案 资料 
专 送 区 


net.qiang@Ohotmail.com 
要 求 。 


# 学 例 来 说 ， 如 果 你 的 网 页 内 会 很 多 图 档 ， 那 么 这 一 次 联机 就 会 将 所 有 
9 数据 


# 而 不 必 每 个 图 档 都 需要 进行 一 次 TCP 联机 。 预 设 为 Off 请 改 为 On 较 
佳 。 


MaxKeepAliveRequests 500 <== 可 以 将 原本 的 100 改 为 500 或 更 高 


# 与 上 个 设 定 值 KeepAlive 有 关 ， 当 KeepAlive 设 定 为 On 时 ， 则 这 个 
数值 


可 决定 


A 5 
0 入 


不 限制 。 
KeepAliveTimeout 15 


# 在 允许 KeepAlive 的 条 件 下 ， 则 该 次 联机 在 最 后 一 次 传输 后 等 待 延 迟 
的 秒 


Ro 
# 当 超 过 上 述 秒 数 则 该 联机 将 中 断 。 设 定 15 差不多 啦 ! 如 果 设 定 太 高 


(等 行 

时 间 较 长 )， 

# 在 较 忙 碌 的 系统 上 面 将 会 有 较 多 的 Apache 程序 占用 资源 ， 
可 能 有 效能 方面 


的 困扰 。 

<IfModule prefork.c> <== 克 下 两 个 perfork, worker 与 内 存 管理 有 关 ! 
StartServers 8 <== 启 动 httpd 时 ， 

唤醒 儿 个 PID 来 处 理 服 务 的 意 

思 

MinSpareServers 5 <== 最 小 的 预备 使 用 的 PID 数量 
MaxSpareServers 20 <== 最 大 的 预备 使 用 的 PID 数量 


ServerLimit 256 <== 服 务 需 的 限制 


MaxClients 256 <== 最 多 可 以 容许 多 少 个 客户 端 同 时 联机 到 httpd 
的 意思 4! 

MaxRequestsPerChild 4000 

</If{Module> 

<IfModule worker.c> 

StartServers 4 

MaxClients 300 

MinSpareThreads 25 

MaxSpareThreads 75 

ThreadsPerChild 25 


MaxRequestsPerChild 0 


</IfModule> 


上 面 的 prefork 及 worker 其 实 是 两 个 与 服务 卓 联 机 资源 有 天 的 设 定 项 
目 。 默 认 的 项 


目 对 于 一 般 小 型 网 站 来 说 已 经 很 够 用 了 ， 不 过 如 果 你 的 网 站 流量 比较 
大 时 ， 或 许可 以 


修订 一 下 里 面 的 数值 呢 ! 这 两 个 模块 都 是 用 在 提供 使 用 者 联机 的 资源 
(process)， 设 定 


的 数量 越 大 代表 系统 会 启动 比较 多 的 程序 来 提供 Apache 的 服务 ， 反 应 
速度 就 比较 快 。 


简单 的 说 ， 这 两 个 模块 的 功能 分 类 为 : 


net.qiang@Ohotmail.com 

0 针对 模块 的 功能 分 类 来 说 : 

worker 模块 占用 的 内 存 较 小 ， 对 于 流量 较 大 的 网 站 来 说 ， 是 一 个 比较 
好 的 选择 。 


prefork 虽然 占用 较 大 的 内 存 ， 不 过 速度 与 worker 差异 不 大 ， 并 且 
prefork 内 
存 使 用 设计 较为 优秀 ， 可 以 在 很 多 无 法 提供 debug 的 平台 上 面 进 行 目 


除 错 ， 


所 以 ， 默 认 的 模块 就 是 prefork 这 一 个 呢 ! 
0 细部 设 定 的 内 容 方面 ，( 以 Prefork 为 例 ， worker 意义 相同 ) 
o StartServers: 代表 启动 Apache 时 就 启动 的 process 数量 ， 所 以 
apache 会 用 到 不 止 一 支 程序 ! 


o MinSpareServers, MaxSpareServers: 代表 最 大 与 最 小 的 备用 程序 数 


| 三 = 


上 上 


o MaxClients: 最 大 的 同时 联机 数量 ， 也 就 是 process 不 会 超过 此 一 
数量 。 现 在 假设 有 10 个 人 连 上 来 ， 加 上 前 面 的 MinSpareServer=5， 
MaxSpareServers=20， 则 apache 此 时 的 程序 数 应 有 15-30 个 之 意 。 而 
这 个 最 终 程序 数 不 可 超过 256 个 ( 依 上 述 设 定 值 )! 

0 MaxRequestsPerChild: 每 个 程序 能 够 提供 的 最 大 传输 次 数 要 求 。 举 
0 
页 ， 当 他 的 要 求 数量 超过 此 一 数值 ， 则 该 程序 会 被 丢弃 ， 男 外 切换 一 


A 


新 程序 。 这 个 设 定 可 以 有 效 的 探 管 每 个 process 在 系统 上 的 『 存 活 时 
间 J4 。 


因为 根据 观察 所 得 ， 新 程序 的 效能 较 佳 啦 ! 


在 上 面 的 设 定 中 ， 比 较 有 趣 的 是 MaxClients 这 个 程序 模块 的 参数 值 ， 
如 同上 面 的 


说 明 ， 这 个 MaxClients 设 定 值 可 以 控制 『 同 时 连 上 WWW 服务 郁 的 总 
联机 要 求 数量 ， 

亦 即 想 成 最 高 实时 在 线 人 数 啦 。 不 过 你 要 注意 的 是 ，MaxClients 的 数 
量 不 是 越 高 越 好 ， 

因为 他 会 消耗 物理 内 存 (与 process 有 关 嘛 )， 所 以 如 果 你 设 定 太 高 导致 
超出 物理 内 存 


能 够 容许 的 范围 ， 那 么 效能 反而 会 降低 (因为 系统 会 使 用 速度 较 慢 的 
swap 啊 )， 此 外 ， 


MaxClients 也 在 Apache 编译 时 就 指定 最 大 值 了 ， 所 以 你 也 无 法 超出 系 
统 最 大 值 ， 除 


非 .你 重新 编译 Apache 啦 ! 


除非 你 的 网 站 流量 特别 大 ， 否 则 默认 值 已 经 够 你 使 用 的 了 。 而 如 果 你 
的 内 存 不 够 大 


的 话 ， 那 么 MaxClients 反而 要 调 小 一 点 ， 例 如 150 ， 否 则 效能 不 佳 。 
那 ，apache 到 


底 是 使 用 那个 模块 啊 ? prefork 还 是 worker ? 事实 上 CentOS 将 这 两 个 
模块 分 别 放 


到 不 同 的 执行 档 当中 ， 分 别 是 : 
吕 /usr/sbin/httpd: 使 用 prefork 模块 ; 
DO /usr/sbin/httpd.worker: 使 用 worker 模块 。 


那 如 何 决定 你 使 用 的 是 哪 一 支 程序 ? 你 可 以 去 查阅 一 下 
/etc/sysconfig/httpd ， 


就 能 够 知道 系统 默认 提供 prefork 模块 ， 但 你 可 以 透 过 修改 
/etc/sysconfig/httpd 


来 使 用 worker 模块 的 。 如果 你 很 有 好 奇 心 ， 那 么 可 以 分 别 试 着 局 动 这 
两 种 模块 啊 ! 


接 下 来 ， 继 续 瞧 瞧 其 他 的 服务 絮 环 境 设 定 参 数 吧 ! 
net.giang@hotmail.com 
Listen 80 


# 与 监听 接口 有 关 ， 默 认 开 放 在 所 有 的 网 络 接口 啊 ! 也 可 修改 塌 口 ， 如 
8080 


LoadModule auth_ basic module modules/mod_ auth basic.so 


…( 压 下 省 略 )..… 


We 目 。Apache 提供 很 多 有 用 的 模块 ( 殉 是 外 挂 ) 给 我 
站 


ele 

Include conf.d/*.conf 

# 因为 这 一 行 ， 所 以 放置 到 /etc/httpd/conf.d/*.conf 的 设 定 都 会 被 读 入 ! 
User apache 

Group apache 

# 前 面 提 到 的 prework, worker 等 模块 所 局 动 的 process 之 拥有 者 与 群 组 
设 定 。 

# 这 个 设 定 很 重要 ， 

因为 未 来 你 提供 的 网 页 档案 能 不 能 被 浏览 都 与 这 个 号 份 有 

天 啊 ! 

ServerAdmin vbird@www.centos.vbird <== 改 成 你 自己 的 email 吧 


# 系统 管理 员 的 email， 当 网 站 出 现 问 题 时 ， 钳 误 讯 奶 会 显示 的 联络 信 


误 回 报 ) 。 
ServerName www.centos.vbird <== 目 行 设 定好 目 己 的 主机 名 较 佳 ! 
# 设 定 主机 名 ， 


这 个 值 如 有 果 没 有 指定 的 话 ， 
预 设 会 以 hostname 的 输出 为 依据 。 
# 和 干 万 记得 ， 你 填 入 的 这 个 主机 名 要 找 的 到 IP 喔 ! (DNS 或 /etc/hosts) 


UseCanonicalName Off 


# 是 否 使 用 标准 主机 名 ? 如 有 果 你 的 主机 有 多 个 主机 名 ， 若 这 个 设 定 为 
On, 


# 那么 Apache 只 接受 上 头 servername 指定 的 主机 名 联机 而 已 。 请 使 用 
Off °。 


在 某 些 特殊 的 服务 器 环境 中 ， 有 时 候 你 会 想 要 启动 多 个 不 同 的 
Apache， 或 者 是 port 80 


已 经 被 使 用 挥 了 ， 导 至 Apache 无 法 局 动 在 预 设 的 埋 口 。 那 么 你 可 以 透 


过 Listen 这 个 


设 定 值 来 修改 坦 口 喔 ! 这 也 是 个 很 重要 的 设 定 值 。 此 外 ， 你 也 可 以 将 
目 己 的 额外 设 定 


指定 到 /etc/httpd/conf.d/*.conf 内 ， 尤 其 是 虚拟 主机 很 常 使 用 这 样 的 设 
定 ， 在 移 机 


时 会 很 方便 的 ! 
0 
针对 中 文 big5 语系 编码 的 设 定 参数 修改 


目前 的 因特网 传输 数据 编码 多 是 以 万 国 码 (UTF-8) 为 主 ， 不 过 在 台湾 
还 是 有 相当 


多 的 网 站 使 用 的 是 Big5 的 繁体 中 文 编码 啊 ! 如 果 你 的 Apache 默认 是 
以 UTF-8 编码 


net.giang@hotmail.com 


来 传输 数据 ， 但 你 WWW 的 数据 却 生 big5 ， 那 么 客户 端 将 会 看 到 『 乱 
码 J 1 虽然 可 以 


透 过 调整 浏 虎 硕 的 编码 来 让 数据 正确 显示 ， 不 过 总 是 觉得 很 讨厌 。 此 
时 ， 你 应 该 可 以 


调整 一 下 展 下 的 参数 喔 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找到 底下 这 一 行 ， 应 该 是 在 747 行 左 右 
# AddDefaultCharset UTF-8 <== 请 将 她 批注 掉 ! 


这 个 设 定 值 的 意义 是 说 ， 让 服务 器 传输 『 强 制 使 用 UTF-8 编码 J 的 讯 
轧 给 客户 端 浏览 


因此 不 论 网 页 内 容 写 什 么 ， 反 正在 客户 端 浏 抽 硕 都 会 默认 使 用 万 
ee 


° 那 如 果 你 的 网 页 使 用 的 是 非 万 国 码 的 语系 编码 ， 此 时 就 会 在 浏览 
器 内 出 现 乱 四 了 | | 


非常 讨厌 一 所 以 这 里 当然 需要 批注 掉 。 你 必须 要 注意 的 是 ， 如 果 你 已 
经 在 客户 端 上 面 


浏览 过 许多 页 面 ， 那 么 你 修改 过 这 个 设 定 值 后 ， 仍 然 要 将 浏 抽 器 的 快 
取 (cache) 清除 


才 行 ! 否则 相同 页 面 仍 可 能 会 看 到 乱码 ! 网 友 们 已 经 回报 过 很 多 次 
了 ， 这 不 是 Apache 


的 问题 ， 而 是 客户 端 浏览 融 的 快 取 所 产生 的 啦 ! 记得 处 理 处 理 ! 


语系 编码 已 经 取消 默认 值 ， 那 我 有 怎么 知道 我 的 网 页 语系 在 客户 蜗 会 显 
示 的 是 哪 一 个 ? 


其 实在 网 页 里 面 本 来 就 有 宣告 了 : 


<html> 


<head> 

<meta http-equiv="Content-Type" content="text/html; 
charset=big5" > 

…( 其 他 省 上 略 )..… 


， 0 而 不 是 透 过 Apache 提供 预 设 语 
系 可 对 | 


网 页 首页 及 目录 相关 之 权限 设 定 (DocumentRoot 与 Directory) 


我 们 不 是 讲 过 CentOS 的 WWW 预 设 首 页 放置 在 /var/www/html 这 个 目 
录 吗 ? 为 


什么 呢 ? 因为 DocumentRoot 这 个 设 定 值 的 天 系 啦 ! 此 外 ， 由 于 
Apache 允许 Internet 


对 我 们 的 数据 进行 浏览 ， 所 以 你 当然 必须 要 针对 可 概 浏 贤 的 目 孙 进行 
权限 的 相关 设 定 ， 


那 束 是 <Directory> 这 个 设 定 值 的 重要 特色 ! 先 让 我 们 来 看 看 预 设 的 主 
网 页 设 定 吧 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
DocumentRoot "/var/www/html" <== 可 以 改 成 你 放置 首页 的 目 永 ! 


# 这 个 设 定 值 规 范 了 WWW 服务 郁 主 网 页 所 放置 的 『 目 永 4」 ， 虽 然 设 
定 值 内 容 


可 以 变更 ， 


别 留意 这 个 设 定 目 录 的 权限 以 及 SELinux 的 相关 规则 与 
类 型 


(type) | 
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<Directory /> 

Options FollowSymLinks 
AllowOverride None 


</Directory> 


0 WWW 服务 器 的 『 预 设 环境 」 而 来 的 ， 因 为 针对 
『/ 的 设 


定 嘛 ! 


# 建议 保留 上 这 的 默认 全 (上 头 数据 已 经 是 很 严格 的 限制 )， 相 关 参 数 容 
后 


明 。 

<Directory "/vavwww/html"> <== 针 对 特定 目录 的 限制 ! 底下 参数 
很 重要 ! 

Options Indexes FollowSymLinks <== 建 议 拿 掉 Indexes 比较 妥当 | 
AllowOverride None 

Order allow,deny 

Allow from all 


</Directory> 


这 个 地 方 则 是 针对 /var/www/html 这 个 目录 来 设 定 权限 啦 ! 就 是 咱们 前 
页 所 在 目录 的 


权限 。 主要 的 几 个 设 定 项 目的 意义 是 这 样 的 (这 些 设 定 值 都 很 重要 ! 要 
仔细 看 喔 ! ): 


0 Options (目录 参数 ): 


此 设 定 值 表示 在 这 个 目录 内 能 够 让 Apache 进行 的 动作 ， 亦 即 是 针对 
apache 的 


程序 的 权限 设 定 啦 ! 主要 的 参数 值 有 : 


0 Indexes: 
如 有 果 在 此 目录 下 找 不 到 『 首 页 档案 ( 预 设 为 index.html) J 
上 时， 就 显示 整个 目录 下 的 文件 名 ， 人 至 于 『 首 页 档案 档 名 4」 则 与 


DirectoryIndex 设 定 值 有 关 。 


o FollowSymLinks: 这 是 Follow Symbolic Links 的 缩写 ， 字面 意义 


是 让 连结 档 可 以 生效 的 意思 。 我 们 知道 首页 目录 在 /var/www/html， 嗓 


是 WWW 的 根 目 录 ， 理 论 上 就 像 被 chroot 一 般 ! 一 般 来 说 被 chroot 的 


程序 将 无 法 离开 其 目录 ， 也 束 是 说 默认 的 情况 下 ， 你 在 /Var/www/html 
奈 


下 的 连结 档 只 要 链接 到 非 此 目 系 的 其 他 地 方 ， 则 该 连结 档 预 设 古 失效 
网 


但 使 用 此 设 定 即 可 让 连结 档 有 效 的 离开 本 目录 。 

0 ExecCGI: 

让 此 目录 具有 执行 CGI 程序 的 权限 ， 非 常 重要 ! 举例 来 说 ， 
之 前 热门 的 OpenWebMail 使 用 了 很 多 的 perl 的 程序 ， 你 要 让 


OpenWebMail 可 以 执行 ， 束 得 要 在 该 程序 所 在 目录 拥有 ExecCGI 的 权 
限 


才 行 喔 ! 但 请 注意 ， 不 要 让 所 有 目录 均 可 使 用 ExecCGI ! 

o Includes: 让 一 些 Server-Side Include 程序 可 以 运作 。 建 议 可 以 
加 二 才 
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o MultiViews: 这 玩意 儿 有 点 像 是 多 国语 言 的 文 持 ， 与 语系 数据 
(LanguagePriority) 有 关 。 最 常见 在 错误 讯息 的 回报 内 容 ， 在 同一 部 主 
a 可 以 依据 客户 端的 语系 而 给 予 不 同 的 语言 显示 呢 ! 默认 在 错误 


报 讯 奶 当中 存在 ， 你 可 以 检查 一 下 /var/www/error/ 目 孙 下 的 数据 喔 ! 
0 AllowOverride (允许 的 履 写 参数 功能 ): 
表示 是 否 允 许 额 外 配置 文件 .htaccess 的 某 些 参数 覆 写 ? 我 们 可 以 在 


pe 内 设 定 好 所 有 的 权限 ， 不 过 如 此 一 来 大 使 用 者 目 己 的 个 人 网 
页 想 


修改 权限 时 将 会 对 管理 员 造 成 困扰 。 因 此 Apache 上 默 认可 以 让 用 户 以 目 
录 底 下 


的 .htaccess 档案 内 禾 写 <Directory> 内 的 某 些 功能 参数 。 这 个 项 目 则 是 
在 


规定 .htaccess 可 以 敌 写 的 权限 类 型 有 哪些 。 和 旬 见 的 有 : 
o ALL: 全 部 的 权限 均 可 被 宪 写 ; 
o AuthConfig: 仪 有 网 页 认证 (账号 密码 ) 可 替 写 ; 


o Indexes: 仅 人 允许 Indexes 方面 的 覆 写 : 

o Limits: 允许 使 用 者 利用 Allow, Deny 与 Order 管理 可 浏览 的 权限 ; 
o None: 不 可 覆 写 ， 亦 即 让 .htaccess 档案 失效 ! 

这 部 份 我 们 在 进 阶 设 定时 会 再 讲 到 的 

0 Order Allow, Deny (能 否 登入 浏览 的 权限 ): 


nn 


两 种 判定 的 方式 : 

o deny,allow: 以 deny 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 allow 
喔 。 

0 allow,deny: 以 allow 为 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 
deny 喔 。 


所 以 在 预 设 的 环境 中 ， 因 为 是 allow,deny 所 以 预 设 为 deny (不 可 浏 
览 )， 不 过 


在 下 一 行 有 个 Allow from all，allow 优先 处 理 ， 因 此 全 部 (all) 客户 端 皆 
本 


浏览 啦 ! 这 部 份 我 们 会 在 20.3.4 进 阶 安全 i 
除了 这 些 数 据 之 外 ， 跟 网 站 数据 相关 性 高 的 还 有 底下 的 几 个 噬 吃 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 


DirectoryIndex index.html index.html.var <== 首 页 『 档 案 的 档 名 J 设 定 ! 
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如 宁 客 户 端 在 网 址 列 只 输入 到 目 孙 ， 例 如 http://localhost/ 时 ， 那 么 
Apache 将 拿 


出 那个 档案 来 显示 呢 ? 就 是 拿 出 首页 档案 嘛 ! 这 个 档案 的 档 名 在 
Apache 当中 预 设 是 


以 index.* 为 开头 的 ， 但 Windows 则 以 default.* 之 类 的 档 名 为 开头 的 。 
如 果 你 想 


要 让 类 似 index.pl 或 index.cgi 也 可 以 是 首页 的 档 名 ， 那 可 以 改 成 : 
[| DirectoryIndex index.html index.htm index.cgi index.pl ... 


那 如 果 上 面 的 档 名 通通 存在 的 话 ， 那 该 怎 办 ? 就 按照 顺序 啊 ! 接 在 


DirectoryIndex 


后 面 的 档 名 参数 ， 越 前 面 的 越 优 先 读 取 。 那 如 宋 楷 名 通通 不 存在 呢 ? 
忠 古 说 没有 上 下 页 


时 ， 该 如 何 读 取 ? 这 职 与 刚刚 谈 到 的 Options 里 面 的 Indexes 有 关 喔 ! 
这 样 有 没有 


将 两 个 参数 中 起 来 ? 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# Alias 网 址 列 延 伸 实际 Linux 目录 

Alias /icons/ "/Vvar/www/icons/" <== 制 作 一 个 目录 别名 (相当 类 似 快捷 方 
式 )! 

<Directory "/Var/ www/icons"> 

Options Indexes MultiViews 

AllowOverride None 


Order allow,deny 


Allow from all 
</Directory> 
这 个 Alias 很 有 趣 的 ! 是 制作 出 类 似 连 结 档 的 东西 啦 ! 当 你 输入 


http://localhost/icons 时 ， 其 实 你 的 /var/www/html 并 没有 icons 那个 目 
孙 ， 不 


过 由 于 Alias (别名 ) 的 关系 ， 会 让 该 网 址 直接 连结 到 /var/www/icons/ 
下 。 这 里 面 


预 设 有 很 多 Apache 提供 的 小 图 示 喔 ! 而 因为 设 定 了 一 个 新 的 可 浏览 目 
孙 ， 所 以 你 瞧 ， 


多 了 个 <Directory> 来 规定 权限 了 吧 ! 信人 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# ScriptAlias 网 址 列 延 伸 实际 Linux 目录 
ScriptAlias /cgi-bin/ "/var/www/cgi-bin/" 
<Directory "/var/www/cgi-bin"> 
AllowOverride None 

Options None 

Order allow,deny 

Allow from all 


</Directory> 


与 上 面 的 icons 类 似 ， 不 过 这 边 却 是 以 ScriptAlias (可 执行 脚本 的 别名 ) 
为 设 定 值 ! 


这 个 设 定 值 可 以 指定 该 目 永 确 下 为 了 具有 ExecCGI 4 能 力 的 目 永 所 在 
喔 ! 所 以 你 可 以 


将 类 似 Open webmail 的 程序 给 他 放置 到 /var/www/cgi-bin 内 ， 残 不 必 
额外 设 定 其 他 
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的 目录 来 放置 你 的 CGI 程序 喔 ! 这 样 大 概 就 OK 了 啦 ! 接 下 来 准备 一 
下 看 看 还 有 哪些 


额外 的 配置 文件 需要 处 理 的 呢 ? 

20.2.3 PHP 的 预 设 参数 修改 

ee PHP 是 Apache 当中 的 一 个 模块 ， 那 在 谈 了 Apache 
httpd.conf 之 后 ，『 我 们 怎么 没有 讲 到 PHP 这 个 模块 的 设 定 啊 ?”J 不 是 
不 讲 啦 ! 而 是 

因为 目前 Apache 很 聪明 的 将 一 些 重要 模块 给 他 拆 出 来 放置 到 


/etc/httpd/conf.d/*.conf 档案 中 了 ， 所 以 我 们 必须 要 到 该 目录 下 才能 了 解 
到 某 些 模 


块 是 否 有 被 加 入 啊 ! 奈 下 先 来 爱 瞧 吧 ! 


[root@www ~]# cd /etc/httpd/conf.d 


[root@www conf.d]# 1] *.conf 
-rW-r--r--. 1 root root 674 Jun 25 15:30 php.conf <== 提 供 PHP 模 
块 的 设 定 


-rW-r--r--. 1 root root 299 May 21 2009 welcome.conf <== 提 供 默 认 的 


目 页 欢迎 讯 妃 

# 如 果 你 是 按照 刚刚 乌 哥 说 的 几 个 模块 去 安装 的 ， 
那么 这 个 目录 下 至 少 会 

两 个 数据 ， 


# 一 个 是 规范 PHP 设 定 ， 一 个 则 是 规范 『 如 果 首 页 不 存在 时 的 欢迎 画 
面 」 哆 。 


我 们 主要 来 看 看 关于 PHP 的 配置 文件 吧 : 


[root@www contf.d]# vim /etc/httpd/conf.d/php.conf 


<IfModule prefork.c> <== 根 据 不 同 的 PID 模式 给 予 不 同 的 PHP 运作 模 
块 


LoadModule php5_module modules/libphp5.so 

</IfModule> 

<IfModule worker.c> 

LoadModule php5_module modules/libphp5-zts.so 

</IfModule> 

AddHandler php5-script .php <== 所 以 扩展 名 一 定 要 是 .php 结尾 ! 
AddType text/html .php <==.php 结尾 的 档案 是 纯 文 本 档 
DirectoryIndex index.php <== 首 页 档 名 增加 index.php 喔 ! 
#AddType application/x-httpd-php-source .phps <== 特 殊 的 用 法 


CentOS 6.x 使 用 的 是 PHP 5.x 版 本 ， 这 个 版 本 依据 不 同 的 apache 使 用 
内 存 模式 


(prefork 或 worker) 给 予 不 同 的 模块 ! 此 外 ， 为 了 规范 PHP 档案 ， 因 此 
多 了 最 后 三 


行 ， 包 括 增加 扩展 名 为 .php 的 档案 处 理 方式 ，.php 定义 为 纯 文本 档 ， 
以 及 首页 档 名 


1 index.php 等 。 基 本 上 ， 这 个 档案 你 不 需要 有 任何 的 修改 ， 保 留 原 
单 即 可 。 
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PHP 的 资 安 方面 设 定 


你 必须 要 知道 PHP 的 配置 文件 其 实 是 在 /etc/php.ini ， 这 个 档案 内 容 有 
某 些 地 


方 可 以 进行 一 些小 修改 ， 也 有 某 些 地 方 你 必须 要 特别 留意 ， 免 得 被 客 
户 只 误 用 你 的 PHP 


资源 。 底 下 先 介绍 一 下 PHP 常见 的 与 资 安 方面 较 相关 的 设 定 : 


[root@www ~]# vim /etc/php.ini 

register_globals = Off 

# 这 个 项 目 请 确定 为 Off ( 预 设 束 是 Off)， 因 为 如 琳 设 定 为 On 时 ， 
# 虽然 程序 执行 比较 不 容易 出 状况 ， 但 是 很 容易 不 小 心 束 被 攻击 。 


log_errors = On 


ignore_repeated_errors = On <== 这 个 设 定 值 调 整 一 下 ( 因 预 设 为 Off) 
ignore_repeated_source = On <== 这 个 设 定 值 调整 一 下 


# 这 三 个 设 定 项 目 可 以 决定 是 否 要 将 PHP 程序 的 错误 记录 起 来 ， 


# 建议 将 重复 的 错误 数据 忽略 掉 ， 否 则 在 很 忙 太 的 系统 

# 这 些 错 误 数 据 将 可 能 造成 你 的 登录 档 又 增 ， 导 致 效 能 不 佳 (或 当 机 ) 
display_errors = Off 

display_startup_errors = Off 

# 当 你 的 程序 发 生 问 题 时 ， 

是 否 要 在 浏览 句 上 头 显示 相关 的 错误 讯息 (包括 部 

分 程序 代码 ) 


# | Off 。 不 过 如 有 宁 是 尚未 开放 的 WWW 服务 磊 ， 为 
了 你 区 


debug 


# 容易 ， 可 以 暂时 的 将 他 设 定 为 On ， 如 此 一 来 你 的 程序 问题 会 在 浏览 
厂 上 面 


# 直接 显示 出 来 ， 你 不 需要 进入 /var/log/httpd/error_log 登录 当中 查阅 。 
# 但 程序 完成 后 ， 记 得 将 此 设 定 值 改 为 Off 喔 ! 重要 重要 | 


如 采 你 想 要 提供 Apache 的 说 明文 件 给 目 己 的 WWW 服务 器 的 话 ， 可 以 
安装 一 下 


httpd-manual 这 个 软件 ， 你 束 会 发 现在 这 个 目 如 当中 义 会 新 增 档案 


(manual.conf), 


而 且 从 此 你 可 以 使 用 http://localhost/manual 来 登入 Apache 的 使 用 手册 
池 


呢 ! 真 


便 ! 有 兴趣 的 话 可 以 参考 与 安装 底下 这 些 软件 喔 : 


DO httpd-manual: 提供 Apache 参考 文件 的 一 个 软件 ; 


0 mrtg: 利用 类 似 绘图 软件 自动 产生 主机 流量 图 表 的 软件 ; 


Dmod_perl: 让 你 的 WWW 服务 器 支持 perl 写 的 网 页 程序 (例如 
webmail 程 


序 ); 
0 mod_python: 让 你 的 WWW 服务 器 支持 python 写 的 网 页 程序 。 


0 mod_ ssl: 让 你 的 WWW 可 以 支持 https 这 种 加 密 过 后 的 传输 模式 。 
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0 
perl 与 python 是 与 PHP 类 似 的 吃 吃 ， 都 是 一 些 很 常用 在 网 页 的 程序 语 
| 


— 


的 。 要 让 你 


的 WWW 文 持 该 程序 语言 ， 你 就 得 要 安装 这 些 东西 啦 ! (但 不 是 所 有 
的 软件 都 安装 ! 请 


安装 你 需要 的 即 可 ! ) 
0 


PHP 提供 的 上 传 容量 限制 


我 们 未 来 可 能 会 使 用 PHP 写成 的 软件 来 提供 用 户 上 传 /下 载 文件 数据 ， 
那么 PHP 


有 没有 限制 档案 容量 呢 ? 答案 是 有 的 ! 那么 容量 限制 是 多 大 ? 预 设 是 
2M 左右 。 你 可 


以 修改 它 的 ， 假 设 我 们 现在 要 限制 成 为 16MBytes 时 ， 我 们 可 以 这 样 修 


J: 


[root@www ~]# vim /etc/php.ini 

post_max_size = 20M <== 大 约 在 729 行 左 右 

file_ uploads = On <== 一 定 要 是 On 才 行 (默认 值 ) 
upload_max filesize = 16M <== 大 约 在 878 行 左 右 
memory_limit = 128M <==PHP 可 用 内 存 容 量 也 能 修订 ! 


本 档案 上 传 /下 载 容量 较 相 关 的 吏 是 这 几 个 设 定 值 一 为 哈 post_max_size 
be 


upload_max_filesize 大 呢 ? 因为 档案 有 可 能 也 是 透 过 POST 的 方式 传输 
到 我 们 服务 


器 上 头 ， 此 时 你 的 档案 就 得 要 加 入 POST 信息 内 一 因为 POST 信息 可 
能 还 含有 其 它 的 


额外 信息 ， 所 以 当然 要 比 档案 容量 大 才 行 ! 所 以 在 设计 这 个 配置 文件 
时 ， 这 两 个 值得 


要 特别 注意 喔 ! 
20.2.4 启动 WWW 服务 与 测试 PHP 模块 


OK ! 最 单纯 商 易 的 WWW 服务 闫 设 定 摘 定 的 壹 不 多 了 ， 搂 下 来 玖 是 要 
局 动 啦 ! 局 动 


的 方法 简单 到 不 行 ， 用 传统 的 方式 来 处 理 : 


[root@www ~]# /etc/init.d/httpd start <== 立 刻 启动 啦 ! 
[root@www ~]# /etc/init.d/httpd configtest <== 测 试 配置 文件 语法 
[root@www ~]# chkconfig httpd on <== 开 机 启动 WWW 啦 ! 


男 外 ， 其 实 Apache 也 目 行 提供 一 文 script 可 以 让 我 们 来 简单 的 使 用 ， 
那 束 是 


apachectl 这 文 程序 啦 ! 这 文 程序 的 用 法 与 /etc/init.d/httpd 几乎 完全 一 
模 一 样 喔 ! 


[root@www ~]# /usr/sbin/apachect] start <== 启 动 啦 ! 
[root@www ~]# /usr/sbin/apachect] stop <== 关 闭 WWW 啦 ! 
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一 般 建 议 你 可 以 稍微 记 一 下 apachectl 这 支 程序 ， 因 为 很 多 认证 考试 会 
考 ， 而 且 他 也 


征 Apache 预 设 提供 的 一 个 管理 指令 说 ! 好 了 ， 来 看 看 有 没有 局 动 成 
功 ? 


# 先 看 看 port 有 没有 启动 啊 ! 


[root@www ~]# netstat -tulnp | grep 'httpd' 

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program 
name 

tcp 0 0 :::80 :::* LISTEN 2493/httpd 


# 再 来 看 看 登录 文件 的 信息 记录 了 什么 ! 这 个 确实 建议 瞧 一 瞧 ! 


[root@www ~]# tail /var/log/httpd/error_log 


[notice] SELinux policy enabled; httpd running as context 
unconfined_u:system _r:httpd_t:s0 


[notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) 
[notice] Digest: generating secret for digest authentication ... 


[notice] Digest: done 


[notice] Apache/2.2.15 (Unix) DAV/2 PHP/5.3.2 configured -- resuming 
normal operations 


# 第 一 行 在 告知 有 使 用 SELinux( 强 调 一 下 )， 最 后 一 行 代表 正 弟 局 动 
本 :| 


这 样 应 该 束 成 功 司 动 了 Apache 路 ! 比较 重要 的 是 还 有 局 动 SELinux 的 
相关 说 明 ， 这 


1 接 下 来 测试 看 看 能 不 能 看 到 网 页 呢 ? 首 
看 看 


/Var/www/html 有 没有 数据 ? 喇 ? 没有 一 没关系 ， 因 为 CentOS 帮 有 我 们 
造 了 一 个 测试 页 


了 (Apache 的 welcome 模块 功能 )， 所 以 你 还 生 在 浏览 郁 上 面 输入 你 这 
部 主机 的 IP 


看 看 完 : 
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apache HTTP Server Test Page powered by CentOS - Mozilla Fretox 


档案 四 ”编辑 E) 检视 中 ” 友 史 人 者 禾 工具 (人 D 说 明 甸 

eaieum | < 一 1 售 -|c 儿 

Apache 2 Test Page 
powered by CentOS 


This page is used to test the proper operation of the Apache HTTP 
server after it has been installed. If you can read this page it means 
that the Apache HTTP servyer installed at this site is working 
propenly 


fyou are amember of the fyou are the website / 
general public: administrator: 


You may now add content to the 
directory /variwwwthtml!. Note 
图 20.2-1、 启 动 Apache 之 后 ， 所 看 到 的 预 设 首 页 


你 可 以 在 服务 器 上 面 启动 图 形 接口 来 查阅 ， 也 可 以 透 过 客户 端 计算 机 
来 联机 (假设 


防火 墙 问 题 已 经 克服 了 )。 乌 哥 这 里 假设 服务 器 为 runlevel 3 的 纯 文 本 
接口 ， 因 此 使 


用 外 部 的 客户 端 计算 机 联机 到 服务 器 的 IP 上 ， 如 上 图 画面 中 的 箭头 1 
处 。 如 琳 你 十 


在 服务 器 本 机 上 面 启动 的 浏览 器 ， 那 直接 输入 『 http://localhost 」 即 
可 。 同 时 看 到 


画面 中 的 箭头 2 所 指 处 ， 你 束 可 以 发 现 首页 的 位 置 是 在 /var/www/html/ 
压 下 哆 ! 但 


如 果 想 要 知道 有 没有 成 功 的 驱动 PHP 模块 ， 那 你 最 好 先 到 
/Var/www/html 目录 下 去 建 


The fact that you are Seeing 
this page indicates that the 


立 一 个 简单 的 档案 : 
[root@www ~]# vim /var/ www/html/phpinfo.php 
<?php phpinfo (); ?> 


2 
5 


『 <?php …?> 4 是 嵌入 在 HTML 档案 内 的 PHP 程序 语法 ， 在 这 两 个 
标签 内 的 就 是 


PHP 的 程序 代码 。 那 么 phpinfo(); 就 是 PHP 程序 提供 的 一 个 函 式 库 ， 
这 个 函 式 库 可 


以 显示 出 你 WWW 服务 器 内 的 相关 服务 信息 ， 包 括 主要 的 Apache 信 
息 与 PHP 信息 等 


等 。 这 个 档案 建 置 完毕 后 ， 接 下 来 你 可 以 利用 浏 咒 右 去 浏览 一 下 这 个 
档案 : 
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phpinfog - Mozilla Firefox 


JWconfigure' -builld=x86_64-unknown-linux-gnu' -hostEx86_64-Unknown-linuxcgnu' 
-target=x86_64-redhat-linux-gnu' -program-prefix=" -prefbe=/usr' -exec-prefix=/usr' 
--bindir=ijusribin’ --sbindir=iustrishin’' 一 SYSconfdir=)etc -datadir=/usrishare' 
--includedir=iusriinclude" ~-libdir=jusmlib64' --libexecdir=/jusrilibexec’ --localstatedir=jyar 
-sharedstatedir=/yamlib' -mandir=iusrishare/man' ~-infodir=/usrishare/info' -cache- 
flle=.Jconfig.cache’ -With-libdir=lib64 -with-config-file-path=/ete' -with-confiyg-file-scan- 
dir=/etc/php.d' ~-disable-debug' ~-with-pic' --disable-rpath' -withoutpear --with-bz2 -ywith- 
exec-dir=/usribin' ~-with-freetype-dit=jusr’ ~-with-png-dir=/usr’ -with-xpm-dir=/usr' ~-enable- oH 
区 目 5 


图 20.2-2、 测 试 Apache 能 和 否 驱动 PHP 模块 


注意 看 网 址 的 部 分 喔 ! 因为 我 们 phpinfo.php 是 放置 在 首页 目录 底下 ， 
天 此 整个 


URL 当然 束 成 为 上 述 箭头 1 当中 的 模样 了 。 这 个 phpinfo0 函数 输出 的 
内 容 还 挺 机 


密 的 ， 所 以 测试 完毕 后 请 将 这 个 档案 删除 吧 ! 从 上 头 的 画面 你 可 以 知 
道 PHP 模块 的 版 


本 以 及 Apache 相关 的 重要 数据 啦 ! 上 自己 仔细 瞧 瞧 吧 ! 如 此 一 来 ， 你 的 
Apache 与 PHP 


就 OK 的 啦 ! 
那 万 一 测试 失败 怎么 办 ? 常见 的 错误 问题 以 及 解决 之 道 可 以 参考 : 


中 网络 问 题 ， 虽 然 在 本 机 上 没有 问题 ， 但 不 代表 网 络 一 证 是 通 的 ! 请 
确认 一 


下 网 络 状 态 ! 例如 Route table, 拨 接 情况 等 等 ; 
0 配置 文件 语法 销 误 : 这 个 问题 很 钊 发 生 ， 因 为 设 定 错 误 ， 导 致 无 法 将 
条 


务 局 
动 成 功 。 此 时 除了 参考 屏幕 上 面 的 输出 信息 外 ， 你 也 可 以 透 过 
/etc/init.d/httpd configtest 测试 语法 ， 更 佳 的 解决 方案 是 参考 
/Var/log/httpd/error_log 内 的 数据 ， 可 以 取得 更 详尽 的 解决 之 道 。 
0 权限 问题 : 例如 你 刚刚 在 httpd.conf 上 面 的 user 设 定 为 apache 了 ， 但 


偏偏 要 被 浏览 的 档案 或 目录 权限 对 apache 没有 可 读 权限 ， 自 然 就 无 法 
让 人 家 联 


机 进去 啦 ! 


0 问题 的 解决 之 道 : 如 果 还 是 没有 办 法 连接 上 来 你 的 Linux Apache 主 
机 ， 那 


么 请 : 
1. 察看 /var/log/httpd/error_log 这 个 档案 吧 ! 他 应 该 可 以 告诉 你 很 
多 的 信息 喔 ! 


2. 仔细 的 察看 一 下 你 浏览 锻 上 面 显示 的 信息 ， 这 样 才 能 够 知道 问题 出 
在 


哪里 ! 
3. 男 一 个 可 能 则 是 防火 墙 啦 ! 察看 一 下 iptables 的 讯息 ! 也 可 能 是 


SELinux 的 问题 喔 ! 
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20.2.5 MySQL 的 基本 设 定 


在 LAMP 服务 器 里 面 ，Linux, Apache, PHP 已 经 处 理 完 毕 ， 那 么 
MySQL 呢 ? 所 以 ， 


返 下 来 整 是 要 处 理 这 个 数据 库 软 件 哆 。 在 局 动 MySQL 前 其 实 系统 } 
没有 帮 我 们 建立 任 


何 的 数据 库 。 当 你 初次 启动 MySQL 后 ， 系 统 才 会 针对 数据 库 进行 初始 
化 的 建立 啊 。 不 


相信 的 话 你 可 以 先 看 看 /var/lib/mysql/ 这 个 目录 ， 里 面 其 实 没 有 任何 数 
据 的 啦 。 


0 
启动 MySQL ( 设 定 MySQL root 密码 与 新 增 MysQL 用 户 账号 ) 
首先 得 要 启动 MySQL 才 行 ， 启 动 的 方法 还 是 很 简单 啊 ! 


[root@www ~]# /etc/init.d/mysqld start 
[root@www ~]# chkconfig mysqld on 


# 如 果 是 初次 启动 ， 屏 幕 会 显示 一 些 讯 已 且 /vavlib/mysql 会 建立 数据 
库 。 


[root@www ~]#netstat -tulnp | grep 'mysgqgl' 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 

2726/mysdqld 

# 底下 在 测试 看 能 否 以 手动 的 方式 连 上 MySQL 数据 库 ! 


[root@www ~]# mysql -u root 

Welcome to the MySQL monitor. Commands end with ; or \g. 
Your MySQL connection id is 2 

Server version: 5.1.52 Source distribution 

Type 'help;' or \h' for help. Type NAc' to clear the current input 
statement. 

mysql> exit 

Bye 


MySQL 预 设 监听 的 塌 口 在 port 3306， 从 上 面 看 来 我 们 的 MySQL 似乎 
是 启动 了 ， 不 过 


刚刚 初始 化 的 MySQL 数据 库 管 理 员 并 没有 任何 密码 ， 所 以 很 可 能 我 们 
的 数据 库 是 会 被 


用 户 搞 烂 掉 的 一 所 以 你 最 好 对 MySQL 的 管理 员 账 号 设 定 一 下 密码 才 
:上 斑 因 天 


个 root 与 我 们 Linux 账号 的 root 是 完全 无 天 的 ! 因为 MySQL 数据 库 
软件 也 是 个 多 


人 的 操作 环境 ， 在 该 软件 内 有 个 管理 者 恰好 账号 也 是 root 而 已 。 
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那么 如 何 针 对 MySQL 这 个 软件 内 的 root 这 个 管理 痢 设 定 他 的 密码 
呢 ? 你 可 以 这 


样 做 : 


[root@www ~]# mysqgladmin -u root password 'your.password' 


# 从 此 以 后 MySQL 的 root 账号 就 需要 密码 了 ! 如 下 所 示 : 
[root@www ~]# mysql -uroot -p 

Enter password: <== 你 必须 要 在 这 里 输入 刚刚 建立 的 密码 ! 
mysql> exit 


如 此 一 来 MySQL 数据 库 的 管理 方面 会 比较 安全 些 啦 ! 其 实 更 好 的 作法 
征 分 别 建立 不 同 


的 用 户 管理 不 同 的 数据 库 。 举例 来 说 ， 如 果 你 要 给 予 vbirduser 这 个 用 
有 MySQL 


的 数据 库 使 用 权 ， 假 设 你 要 给 他 的 数据 库 名 称 为 vbirddb， 且 密码 为 
vbirdpw 时 ， 你 


可 以 这 样 做 : 

[root@Owww ~]#mysql -u root -p 

Enter password: <== 如 前 所 述 ， 你 必须 要 输入 密码 嘛 ! 

mysql> create database vbirddb; <== 注 意 每 个 指令 后 面 都 要 加 上 分 号 (;) 
Query OK, 1 row affected (0.01 sec) 

mysdql> grant all privileges on vbirddb.* to vbirduser@localhost 

identified by 'vbirdpw' ; 

Query OK, 0 rows affected (0.00 sec) 


mysql> show databases; 


| Database | 


| information_schema | 
| mysql | <== 用 来 记录 MySQL 账号、 主机 等 重要 信息 的 主 数 
据 库 ! 


| test | 
| vbirddb | <== 我 们 刚刚 建立 的 数据 库 在 此 
村 + 


4 rows in set (0.00 sec) 

mysql> use mysdq]; 

mysdql> select * from user where user = 'vbirduser'; 

# 上 面 两 个 指令 在 查询 系统 有 没有 vbirduser 这 个 账号 ， 
奉 有 出 现 一 堆 东 西 ， 

# 那 就 是 查询 到 该 账号 了 ! 这 样 就 建 置 妥 当 鹃 | 
mysql> exit 
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然后 你 可 以 利用 『 mysql -u vbirduser -p 」 这 个 指令 来 笑 试 登入 MySQL 
试看 看 ， 嘿 


哩 1 就 知道 vbirduser 这 个 使 用 者 在 MySQL 里 面 拥 有 一 个 名 称 为 
nl 的 数据 库 


啦 ! 其 他 更 多 的 用 法 束 得 请 你 目 行 参考 SQL 相关 的 语法 鸣 ! 不 在 本 文 
的 讨论 范围 啦 ! 


品 


改 能 调 校 /etc/my.cnf 

由 于 MySQL 这 个 数据 库 系 统 如 有 末 在 很 多 使 用 者 同时 联机 时 ， 可 能 会 造 
成 某 些 效能 

方面 的 瓶 贷 ， 因此， 如 果 你 的 数据 库 真 的 好 大 好 大 ， 建 议 可 以 改 用 
postgresdql 这 套 

软件 ， 这 套 软件 的 使 用 与 mysql 似乎 差异 不 大 。 不 过 ， 我 们 还 是 提供 
一 些 人 简单 的 方式 


来 处 理 小 站 的 MySQL 效能 好 了 “。 相 天 的 数据 乌 哥 是 参考 这 一 篇 简单 的 
中 文 说 明 : 


oot 


[root@www ~]# vim /etc/my.cnf 

[mysqld| 

default-storage-engine=innodb 

# 关于 目录 数据 与 语系 的 设 定 等 等 ; 

default-character-set = utf8 <== 每 个 人 的 编码 都 不 相同 ， 不 要 随意 跟 
我 一 样 


port = 3306 


skip-locking 
# 关于 内 存 的 设 定 ， 注 意 ， 内 存 的 简单 计算 方式 为 : 


# key_buffer + (sort_buffer + read_buffer ) * max_connection 


0 


# 128 + (2+2)*150 = 728MB 
key_buffer = 128M 
sort_buffer_size = 2M 
read_buffer size = 2M 
join_buffer_size = 2M 

max_ connections = 150 
max_ connect errors = 10 
read_rnd_buffer size = 4M 
max_allowed_packet = 4M 
table_cache = 1024 
myisam_sort_buffer_size = 32M 
thread_cache = 16 
query_cache_size = 16M 
tmp_table_size = 64M 


0 
改 关 


20 分 钟 ! 
wait_ timeout = 1200 
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thread_concurrency = 8 
innodb_data_file_path = ibdatal:10M:autoextend 
innodb_buffer pool_size = 128M 
innodb_additional mem _ pool_ size = 32M 
innodb_thread_concurrency = 16 
datadir=/var/lib/mysql 
socket=/var/lib/mysql/mysql.sock 
user=mysql 

symbolic-links=0 

[mysqld_safel] 
log-error=/var/log/mysqld.log 
pid-file=/varrun/mysqld/mysqld.pid 


你 要 注意 的 是 ， 因 为 乌 哥 的 主机 上 面 假设 内 存 有 2GB 啊 ! 所 以 跟 内 存 
相关 的 数据 才 会 


写 很 大 ! 请 依照 你 实际 拥有 的 内 存量 来 处 理 喔 ! 还 得 加 上 你 的 Apache 
本 号 的 内 存 用 


量 ! 所 以 ... 如 有 果 你 的 网 站 流量 很 大 的 话 ， 在 校 能 测试 上 面 要 很 注意 
py ! 


0 
MySQL root 密码 外 记 的 紧急 处 理 


如 琳 你 不 小 心 坪 记 MySQL 的 密码 怎么 办 ? 网 络 上 有 一 些 工具 可 以 让 你 
去 处 理 


MySQL 数据 库 的 挽回 。 如 琳 你 的 数据 库 内 容 并 不 是 很 重要 ， 删 除 也 无 
所 谓 的 话 (测试 


中 加 @)， 那 么 可 以 将 MySQL 关闭 后 ， 将 /vavlib/mysqy* 那个 目录 内 
的 数据 删除 


掉 ， 然 后 再 重新 启动 MySQL ， 那 么 MySQL 数据 库 会 重建 ， 你 的 root 
又 没有 密码 啦 ! 


os 0 如 琳 数 据 库 很 重 
a 


不 要 随便 删除 啊 ! 
20.2.6 防火 墙 设 定 与 SELinux 的 规则 放行 


设 定 好 了 LAMP 之 后 ， 开 始 要 让 客户 闪 来 联机 啊 ! 那么 如 何 放行 呢 ? 
要 放行 哪些 埋 


口 ? 刚刚 的 port 3306 要 不 要 放行 ? 这 里 请 注意 ， 如 果 是 小 型 的 WWW 
网 站 ， 事 实 上 ， 


Apache 是 连接 本 机 的 MySQL， 并 没有 开放 给 外 部 的 用 户 来 连接 数据 
库 ! 因此 ， 请 不 要 


将 3306 放行 给 因特网 连接 ， 除 非 你 真 的 知道 你 要 给 其 他 的 服务 器 读 取 
你 的 MySQL 喔 ! 


既然 如 此 ， 当 然 只 要 开放 port 80 即 可 。 
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此 外 ， 如 果 你 的 Apache 未 来 还 想 要 进行 一 些 额 外 的 联机 工作 ， 那 么 
SELinux 的 


一 些 位 单 规则 也 得 先 放 行 ! 否则 会 有 问题 啦 ! 不 过 SELinux 的 问题 其 
实 部 好 解决 ， 


为 可 以 参考 登录 档 来 修订 嘛 ! 好 了 ， 让 我 们 简单 的 来 谈 谈 ; 

#1. 放行 防火 墙 中 的 port 80 联机 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j 
ACCEPT 

# 将 上 面 这 一 行 的 批注 拿 掉 即 可 ! 

[root@www ~]# /usr/local/virus/iptables/iptables.rule 

[root@www ~]# iptables-save | grep 80 

-A PREROUTING -s 192.168.100.0/255.255.255.0 -i eth1 -p tcp -m tcp 
--dport 80 

-j REDIRECT --to-ports 3128 <== 这 一 行 是 进行 squid 产生 的 ， 应 该 要 
拿 掉 较 佳 

-A INPUT -i eth0 -ptcp -m tcp --Sport 1024:65534 --dport 80 -j ACCEPT 


# 看 到 上 面 这 行 ， 就 是 将 防火 墙 的 放行 加 进来 了 ， 客 户 端 应 该 是 能 够 联 
机 中 | 


# 2. 解决 SELinux 的 规则 放行 问题 : 


[root@www ~]# getsebool -a | grep httpd <== 会 出 现 一 堆 规 则 ， 有 兴趣 的 
如 下 : 


[root@www ~]# setsebool -P httpd_can_network_connect=1 


# 其 他 的 规则 或 类 型 ， 等 待 后 续 的 章 世 介绍 再 来 谈 ! 
例题 : 


你 想 要 修改 首页 内 容 ， 且 先 使 用 root 在 /root 底下 建立 了 index.html 
下 


文 个 档案 将 被 移动 到 /var/www/html 底下 ， 请 建立 该 档案 ， 并 且 放 置 成 
首页 档案 ， 


可 以 透 过 简单 的 方式 建立 一 个 无 关 紧要 的 首页 档案 : 

[root@www ~1# echo "This is my Home page" > index.html 
[rootOwww ~]# mv index.html /var/ www/html 

[root@www ~]#1 /var/www/html/index.html 

-ITW-I--I--. 1 root root 21 2011-08-08 13:49 /var/ www/html/index.html 
# 权限 看 起 来 是 OK 的 ! 


现在 请 使 用 济 吕 名 器 浏览 一 下 http://localhost ， 就 会 发 现 无 法 读 取 ! 为 什 
么 ? 请 


今 查 /var/log/httpd/error_log 以 及 /Var/log/messages 的 内 容 : 
[root@www ~]# tail /var/log/httpd/error_log 


[error] [client 192.168.1.101] (13)Permission denied: access to /index.html 
denied 


[root@www ~]# tail /var/log/messages 


Aug 8 13:50:14 www setroubleshoot: SELinux is preventing /usr/sbin/httpd 
"getattr" 


access to /var/ www/html/index.html. For complete SELinux messages. run 
sealert -| 
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看 到 上 面 画 属 下 的 地 方 了 吧 ? 就 是 他 ! 执行 一 下 ， 你 残 能 发 现 如 何 处 
理 吧 | 


20.2.7 开始 网 页 设计 及 安装 架 站 软件 ， 如 phpBB3 


基础 的 LAMP 服务 紫 染 设 完 毕 之 后 ， 基 本 上 ， 你 束 可 以 开始 设计 你 想 
要 的 网 站 哆 


编写 网 页 的 工具 很 多 ， 请 目 行 寻找 吧 ! 不 过 对 于 这 个 简单 的 LAMP 服 
务 占 ， 你 必须 要 


知道 的 古 : 


吕 默认 的 首页 目录 在 /var/www/html/， 你 应 该 将 所 有 的 WWW 数据 都 搬 
到 该 目 


隶属 下 才 对 ! 
0 注意 你 的 资料 权限 (rwx 与 SELinux)! 务必 要 计 Apache 的 程序 用 户 


能 够 


吕 尽 量 将 你 的 首页 档案 档 名 取 为 index.html 或 index.php ! 


0D 如 果 首 页 想 要 建立 在 其 他 地 方 ， 你 应 该 要 修改 DocumentRoot 那个 参 
数 


(httpd.conf) 
0 不 要 将 重要 数据 或 者 隐私 数据 放置 到 /var/www/html/ 首页 内 ! 
0 如 果 你 需要 安装 一 些 CGI 程序 的 话 ， 建 议 你 将 他 安装 到 


/Var/www/cgi-bin/ 底下 ， 如 此 一 来 你 不 需要 额外 设 定 httpd.conf 即 可 顺 
利 


启动 CGI 程序 ; 


除了 这 些 基本 的 项 目 之 外 ， 其 实 你 可 以 使 用 因特网 上 面 人 家 已 经 做 好 
的 PHP 程序 


架 站 机 喔 ! 譬如 说 讨论 区 软件 phpBB3 这 个 玩意 儿 ， 完 整 的 架 站 软件 
PHPNuke 以 及 部 


落 格 软件 lifetype 等 等 。 但 这 些 架 站 机 都 需要 PHP 与 数据 库 的 文 持 ， 
所 以 你 必需 要 


将 上 述 介 绍 的 LAMP 完整 的 安装 好 才 行 。 如 果 你 不 喜欢 自己 写 网 页 的 
话 ， 那么 这 些 有 


用 的 避 站 软件 殴 够 你 瞧 的 吵 ! 乌 哥 列 出 儿 个 连结 给 你 玩 一 玩 先 ! 


:_http://phpbb-tw.net 


0 乌 哥 的 简易 phpBB 安装 法 :_http://inux.vbird.org/apache packages/ 


DO Lifetype 站 :http:/www.lifetype.org .tw/ 


dip 


DLifetype 部 落 格 架设 EW: http:/www.lifetype.net/ 


DPHP-Nuke 官方 网 站 :_http://phpnuke.org/ 


xoops 官方 网 站 :_http:/www.xoops.org/ 


不 过 请 注意 ， 这 些 软件 由 于 是 公开 的 ， 所 以 有 些 怪 冰 上 权 可 能 会 据 以 乱 
用 或 乱 改 ， 


此 可 能 会 有 一 些 bug 会 出 现 ! 因此 ， 你 必需 要 取得 最 新 的 版 本 来 玩 才 
行 ， 而 且 架 设 之 


后 还 得 要 持续 的 观察 是 否 有 更 新 的 版 本 出 现 ， 随时 去 更 新 到 最 新 版 本 
才 行 嘿 ! 免得 后 


二 
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20.3 Apache 服务 器 的 进 阶 设 定 


事实 上 ， 刚 刚 上 头 的 基本 设 定 已 经 很 足够 朋友 们 架设 WWW 服务 器 所 
需 了 ! 不 过 ， 


还 有 很 多 可 以 玩 玩 的 地 方 ， 例 如 个 人 用 户 首 页 、 虚 拟 主机 以 及 认证 保 
护 的 网 页 等 等 。 


奈 下 我 们 分 别 来 谈 一 谈 哆 ! 
20.3.1 局 动用 户 的 个 人 网 站 (权限 是 重点 ) 


每 一 部 WWW 服务 右 都 有 一 个 目 页 ， 但 古 如 琳 每 个 个 人 用 户 都 想 要 有 
可 以 目 己 完全 


控 管 的 首页 时 ， 那 该 如 何 设计 ? 呵呵 ! Apache 早 就 帮 我 们 想到 了 ! 不 
过 新 版 的 配置 广 


件 内 各 党 是 默认 将 这 个 功能 取消 的 ， 所 以 你 必需 要 目 行 修订 呢 ! 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找 到 如 下 的 设 定 项 目 ， 大 约 在 366 行 左右 : 
<IfModule mod_userdir.c> 

UserDir disable 

#UserDir public_html 

</IfModule> 

# 将 他 改 成 如 下 的 情况 喔 ! 

<IfModule mod_userdir.c> 

#UserDir disable 

UserDir www 

</IfModule> 

# 重新 局 动 一 下 先 ! 

[root@www ~]# /etc/init.d/httpd restart 


这 只 是 个 范例 ，Apache 默认 的 个 人 首页 是 放置 在 家 目 孙 下 的 
~/public_html/ 目录 下 | 


假如 你 的 系统 有 个 账号 叫做 student， 那么 预 设 的 属于 student 的 个 人 首 
页 束 会 放置 


在 /home/student/public_html/ 底下 。 不 过 ， 这 个 public_html 实在 很 讨 
厌 ， 看 起 


来 跟 网 页 没有 什么 特殊 关连 性 ， 因 此 乌 哥 都 会 将 这 个 目 孙 改 为 www， 
所 以 student 的 


个 人 百 页 就 会 是 在 /home/student/www/ 目录 下 ， 比 较 好 记忆 。 


例题 : 
如 何 让 未 来 所 有 『 新 增 4 的 用 户 默认 家 目 永 下 都 有 个 www 的 目 永 ? 


竹 -. 


er 


因为 新 增 用 户 时 所 参考 的 家 目录 在 /etc/skel 目录 内 ， 所 以 你 可 以 直接 


net.giang@hotmail.com 


mkdir /etc/skel/www 即 可 。 知 想 要 让 用 户 和 直接 拥 有 一 个 简易 的 首页 ， 还 


能 够 

使 用 echo "My homepage" > /etc/skel/www/index.html 呢 ! 
0 

个 人 首页 的 URL 以 及 目录 的 权限 、SELinux 设 定 


现在 假设 我 们 要 让 已 经 存在 系统 中 的 student 这 个 账号 具有 个 人 首页 ， 
那 束 得 要 


手动 去 建 置 所 需要 的 目录 与 档案 才 行 。 现 在 请 登入 student， 并 用 该 账 
号 建 置 底 下 的 


相关 信息 : 


[student@www ~]$ mkdir www 


[student@www ~]$ chmod 755 www <== 针 对 www 目录 开放 权限 


[student@www ~]$ chmod 711 ~ <== 不 要 起 了 家 目录 也 要 改 | 
[student@www ~]$ cd www 


[student@Qwww www]$ echo "Test your home" >> index.html 


由 于 CentOS 于 认 的 用 户 家 目 孙 权限 是 drwx------ ， 这 个 权限 将 无 法 让 
Apache 的 程 


序 浏览 啊 ! 所 以 你 至 少 要 让 你 的 家 目录 权限 成 为 drwx--x--x 才 行 ! 这 
个 很 重要 啊 ! 那 


么 未 来 只 要 你 在 浏览 如 的 网 址 列 这 样 输入 : 
0 http:// 你 的 主机 名 /~student/ 


『 理 论 上 J 了 整 能 够 看 到 你 的 个 人 首页 了 了。 不 过 ， 可 惜 的 是 ， 我 们 的 
SELinux 并 没 


有 放行 个 人 首页 ! 所 以 ， 此 时 你 会 发 现 浏览 器 出 现 『You donm't have 


permissionJ 的 


讯 县 ! 赶紧 看 一 下 你 的 /var/log/messages， 里 面 应 该 会 教 你 进行 这 项 工 
作 : 


[root@www ~]# setsebool -P httpd_enable_homedirs=1 
[root@www ~]# restorecon -Rv /home/ 
# 第 一 个 指令 在 放行 个 人 首页 规则 ， 第 二 个 指令 在 处 理 安全 类 型 ! 


束 可 以 看 到 你 的 使 用 痢 个 人 网 页 哆 ! 之 后 让 使 用 者 目 己 去 设计 他 的 网 
站 吧 ! 现在 你 知道 


那个 毛毛 虫 (~) 在 URL 上 面 的 意义 了 吧 ? 和 人 人! 不 过 ， 多 这 个 毛毛 虫 
束 很 讨厌 ~ 我 可 


不 可 以 将 使 用 者 的 个 人 网 站 设 定 成 为 : 
OU http:/ 你 的 主机 名 /student/ 
是 可 以 啦 ! 最 简单 的 方法 是 这 样 的 : 
[root@www ~1# cd /var/www/html 


net.giang@hotmail.com 


0 


[root@www htmlj# In -s /home/student/www student 


由 于 我 们 首页 的 『 Options 4 内 有 FollowSymLinks 这 个 参数 的 原因 ， 
所 以 可 以 直接 


使 用 连结 档 即 可 。 另外 我 们 也 可 以 使 用 Apache 提供 的 别名 功能 
(Alias)， 例 如 这 样 


做 : 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 找 个 不 与 人 家 设 定 值 有 干扰 的 地 方 加 入 这 个 设 定 项 目 : 
Alias /student/ "/home/student/Wwww/" 
<Directory "/home/student/www"> 

Options FollowSymLinks 

AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart 


不 过 ， 如 果 你 使 用 这 个 方法 的 话 得 要 特别 注意 ， 在 httpd.conf 内 的 
Alias 后 面 接 的 


目录 ,需要 加 上 目录 符号 (/) 在 结尾 处 ， 同时， 网 址 列 必须 要 输入 


http://IP/student/ ! 亦 即 是 结尾 也 必须 要 加 上 和 斜 线 才 行 ! 否则 会 显示 找 
不 到 该 URL 


喔 ! 


20.3.2 启动 某 个 目录 的 CGI (perD 程序 执行 权限 


在 前 几 个 小 节 里 面 我 们 有 谈 到 ， 如 采 你 想 要 Apache 可 以 执行 perl 之 类 
的 网 页 程 


序 时 ， 你 就 得 
mod 全 这 病 个 


软件 建议 你 最 好 安装 一 下 啦 ! 然后 我 们 也 提 到 想 要 执行 CGI 程序 就 得 
到 


。 其 中 mod_perl 与 


/varwww/cgi-bin/ 目 如 下 去 执行 。 如 果 你 想 要 在 其 他 目录 的 下 执行 CGI 
程序 是 否 


以 ? 当然 行 啊 ! 
利用 新 目录 下 的 Options 参数 设 定 : 
假设 想 要 执行 CGI 的 程序 附 文件 名 为 .cgi 或 .pl ， 且 放置 的 目录 在 


/Var/www/html/cgi/ 上 时， 你 可 以 这 样 做 : 


[root@www ~]# yum install mod_python mod_perl 
net.giang@hotmail.com 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 找 到 底下 这 一 行 ， 大 约 在 797 行 左右 啦 : 

#AddHandler cgi-script .cgi 

# 将 他 改 成 灰 下 的 模样 ， 让 附 档 名 为 .pl 的 档案 也 能 执行 喔 ! 
AddHandler cgi-script .cgi .pl 

# 然后 加 入 奈 下 这 几 行 来 决定 开放 某 个 目录 的 CGI 执行 权限 。 


<Directory "/var/www/html/cgi"> 
Options +ExecCGI 

AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart 


接 下 来 只 要 让 你 的 CGI 程序 具有 x 权限， 那么 他 就 可 以 执行 啦 ! 举例 
来 说 ， 你 的 档案 


在 /var/www/html/cgi/helloworld.pl 的 话 ， 那 么 : 
[root@www ~1# mkdir /var/www/html/cgi 
[root@www ~1]# vim /var/ www/html/cgi/helloworld.pl 
#!/usr/bin/perl 

print "Content-type: texthtmlNNnNNn ; 

print "Hello, World."; 


[root@www ~1# chmod a+x /var/ www/html/cgi/helloworld.pl 


然后 在 网 址 列 输入 : Thttp:// 主 机 名 或 IP/cgi/helloworld.pl4 即 可 执行 该 
档案 并 将 


结果 显示 在 屏幕 上 面 嗓 ! 
0 


使 用 ScriptAlias 的 功能 : 


| 
人 


/Var/www/perl/ 目录 下 的 档案 都 可 以 是 perl 所 撰写 的 程序 代码 ， 那 么 我 
们 可 以 这 样 


做 : 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 同样 的 你 要 先 确认 这 一 行 是 存在 的 ! 

AddHandler cgi-script .cgi .pl 

net.giang@hotmail.com 

2 

# 然后 加 入 属 下 这 几 行 来 决定 开放 某 个 目录 的 CGI 执行 权限 。 
ScriptAlias /perl/ "/var/ www/perl/" 

[root@www ~]# /etc/init.d/httpd restart 

[root@www ~1# mkdir /var/www/perl 


[root@www ~]# cp -a /var/www/html/cgi/helloworld.pl /var/www/perl 


现在 ， 请 在 网 址 列 输入 : ” 『http://IP/perl/helloworld.pl4 ， 就 能 够 看 到 风 
刚 的 数据 


了 ! 这 个 方法 比较 棒 啦 ! 因为 该 目录 不 需要 在 Apache 首页 克 下 也 可 以 
成 功 的 啦 ! 这 两 


个 方法 你 可 以 随意 取 一 个 来 处 理 即 可 ! 不 需要 两 个 都 进行 啦 ! 
20.3.3 找 不 到 网 页 时 的 显示 讯 妃 通知 


如 果 你 的 warwww/html/cgi 目 孙 底下 没有 任何 首页 档案 (index.???) 
时 ， 那 当 


使 用 者 在 网 址 列 输入 『 http://your.hostname/cgi 」， 请 问 结果 会 显示 出 
什么 昵 ? 可 


能 有 两 个 : 
DD 如 果 你 的 Options 里 面 有 设 定 Indexes 的 话 ， 那 么 该 目录 下 的 所 有 档 


案 都 
会 被 列 出 来 ， 提 供 类 似 FTP 的 连结 页 面 。 
0 如 采 没 有 指定 Indexes 的 话 ， 那 么 错误 讯 轧 通知 就 会 被 显示 出 来 。 


事实 上 CentOS 所 提供 的 Apache 已 经 规范 好 一 些 简单 的 错误 资料 网 页 
了 ， 你 可 以 


到 /var/www/error/ 目 孙 下 瞧 瞧 就 晓得 。 不 过 该 目 永 下 的 档案 并 没有 中 
文 讯 电 ， 所 以 .… 


真 要 命 ! 至 于 Apache 的 钳 误 讯 上 县 设 定 在 这 里 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 大 约 在 875 行 左 右 ， 预 设 束 是 批注 挥 的 ! 

# ErrorDocument 403 /error/HTTP_ FORBIDDEN .html.var 

# ErrorDocument 404 /error/HTTP_ NOT_FOUND.html.var 

# ErrorDocument 405 /error/HTTP_ METHOD NOT ALLOWED.html.var 
# ErrorDocument 408 /error/HTTP_ REQUEST_ TIME OUT.html.var 
.…( 后 面 省 略 ).…. 


虽然 Apache 肘 认 有 提供 一 些 额 外 的 数据 给 我 们 使 用 ， 不 过 ， 乌 哥 不 旦 
很 喜欢 那样 的 画 


面 啦 ! 反而 比较 喜欢 像 是 Yahoo 或 是 其 他 大 型 的 网 站 所 提供 的 信息 页 
面 ， 可 以 提供 给 


用 户 一 些 有 效 的 链接 ， 这 桂 会 比较 万 便 用 户 链 接 到 我 们 的 网 站 啊 ! 此 
时 我 们 可 以 这 样 


做 : 
net.giang@hotmail.com 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 


# 找 到 底下 这 一 段 ， 大 约 在 836 行 左 右 ， 看 看 这 些 简单 的 范例 先 : 


#ErrorDocument 500 "The server made a boo boo." 

ErrorDocument 404 /missing.html <== 将 批注 拿 掉 吧 ! 
#ErrorDocument 404 "/cgi-bin/missing handler.pl" 

#ErrorDocument 402 http://www.example.com/subscription_info.html 
[root@www ~]# /etc/init.d/httpd restart 

上 上面 那个 档案 /missing.html 必需 要 放置 在 你 的 首页 目 孙 下 ， 亦 即 是 


/Var/www/html/missing.html 啦 ! 要 提醒 你 的 是 : 了 你 的 所 有 配置 文件 
当中 (包括 


/etc/httpd/conf.d/*.conf) 只 能 存在 一 个 ErrorDocument 404 … 的 设 定 值 ， 
五 出 
全 内 


将 以 较 晚 出 现 的 设 定 为 主 4 。 所 以 你 得 先 搜 寻 一 下 ， 尤 其 是 很 多 
Linux 版 本 的 Apache 


并 没有 将 默认 的 错误 讯息 批注 呢 。 人 至 于 那个 404 是 哈 意 思 ? 他 的 意义 
征 这 样 的 : 


0 100-199: 一 些 基本 的 讯息 


口 200-299: 客户 端的 要 求 已 成 功 的 达成 

口 300-399: Client 的 需求 需要 其 他 额外 的 动作 ， 例 如 redirected 等 等 
口 400-499: Client 的 要 求 没 有 办 法 完成 (例如 找 不 到 网 页 ) 

吕 500-599: 主机 的 设 定 错误 问题 

好 了 ， 接 下 来 让 我 们 编辑 一 下 那个 missing.html 的 档案 内 容 吧 ! 入 信 
[root@www ~]# vim /var/www/html/missing.html 

<html> 

<head> 

<meta http-equiv="Content-Type" content="text/html; 

charset=utf8"> 

<title> 销 误 讯 恩 通 知 </title> 

<head> 

<body> 

<font size=+2 face=" 标 楷体 "> 您 输入 的 网 页 找 不 到 ! </font><br /> 
<hr /> 

亲爱 的 网 友 ， 你 所 输入 的 网 址 并 不 存在 我 们 的 服务 器 当中 ， 

有 可 能 是 因为 该 网 页 已 经 被 管理 原 删 除 ， 

或 者 是 你 输入 了 错误 的 网 址 。 请 再 次 查 明 后 在 填 入 网 址 嚼 ! 

或 按 <a href="/"> 这 里 </a> 回 到 首页 。 


感谢 你 第 第 来 玩 ! 人 人 <br /> 


<hr /> 

在 有 任何 问题 ， 欢 迎 联 络 管理 员 <a 
href="mailto:vbird@www.centos.vbird">vbird@www.centos.vbird</a> ° 
</body> 


net.giang@hotmail.com 


籍 强 亨 息 通知 - Mozilla Firefox 
档案 四 久 辑 蔬 ) 梳 视 人 历史 站 书 铬 号 ”工具 说 明王 ) 


EE : 
您 输入 的 网 页 找 不 到 ! 


鞠 受 的 秽 友 ;你 所 输 加 J 有 址 并 不 存在 我 们 的 伺服 大 党 中 ， 有 可 能 是 因 扁 该 移 
页 已 径 被 管理 局 如 际 ， 或 者 是 你 输入 了 错误 的 筒 址 。 请 再 次 查 明和 后 在 填 人 秽 址 
嘱 ! 或 按 过 得 回 到 首页 。 感谢 你 常常 来 所 1“ 


若 有 任何 沿 题 ， 芍 迎 联 稿 管理 员 vybirdfGywwww.Ccentos wbird 。 


http:#192.168.1.100; 


0 


</html> 


现在 你 如 果 在 网 址 列 随便 输入 一 个 服务 右上 不 存在 的 网 址 ， 束 会 出 现 
如 下 的 画面 史 : 


图 20.3-1、 找 不 到 网 页 时 的 锯 误 通报 讯 忌 


当然 啦 ， 你 可 以 目 行 设 定 出 符合 你 网 页 风格 的 数据 啦 ! 例如 乌 哥 的 网 
站 上 面 融 列 出 


一 些 基本 的 连结 ， 帮助 网 友 们 可 以 顺利 的 取得 他 们 想 要 的 数据 啊 ! 这 
也 是 很 重要 的 功 


能 呢 ! ^^ 


20.3.4 浏览 权限 的 设 定 动 作 (order limit) 
你 该 如 何 限 制 客户 端 对 你 的 WWW 联机 呢 ? 你 会 说 ， 那 就 利用 iptables 


这 个 防火 


墙 嘛 ! 那 有 什么 难 的 ? 问题 是 ， 如 果 同 一 个 IP 来源， 他 某 些 网 页 可 以 
浏览 ， 但 茶 些 


网 页 不 能 浏览 时 ， 该 如 何 设 定 ? iptables 仅 能 一 口气 开放 或 整个 拒绝 ， 
无 法 针对 WWW 


的 内 容 来 部 分 放行 。 那 该 如 何 处 理 ? 就 透 过 apache 内 建 的 order 项 目 来 
处 置 即 可 。 


先 来 回忆 一 下 order 搭配 allow, deny 的 相关 限制 : 
0 Order deny,allow: 以 deny 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 


allow。 
常用 于 : 拒绝 所 有 ， 开 放 特 定 的 条 件 ; 

DO Order allow,deny: 以 allow 为 优先 处 理 ， 但 没有 写 入 规则 的 则 默认 为 
deny。 常 用 于 : 开放 所 有 ， 拒 绝 特定 的 条 件 。 


DD 如果 allow 与 deny 的 规则 当中 有 重复 的 ， 则 以 预 设 的 情况 (Order 的 
规 


到 为 主 % 


0 如 果 我 们 的 首页 目录 想 要 让 192.168.1.101 及 政府 部 门 无 法 
联机 ， 其 


他 的 则 可 以 联机 ， 由 上 面 的 说 明 你 可 以 知道 这 是 『 开 放 所 有 ， 拒 绝 特 
是 下 的 条 (人 醋 


以 你 可 以 这 样 做 设 定 : 


net.qiang@Ohotmail.com 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 
<Directory "/var/ www/html"> 

Options FollowSymLinks 

AllowOverride None 

Order allow,deny 

Allow from all 

Deny from 192.168.1.101 <== 约 在 344 行 新 增 底下 两 行 ! 
Deny from .gov.tw 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart 


注意 一 下 ， 因 为 Order 是 『 allow,deny 」， 所 以 所 有 规则 当中 属于 
allow 的 都 会 被 


优先 提 到 最 上 方 ， 为 了 避免 这 个 设计 上 的 困扰 ， 所 以 建议 你 直接 将 
allow 的 规则 写 在 


最 上 方 。 而 由 于 规则 当中 192.168.1.101 隶属 于 all 当中 (all 代表 所 有 的 
嘱 ! )， 


因此 这 个 设 定 项 目 则 为 玖 认 值 ， 亦 即 为 deny 啦 ! 那个 .govtw 的 设 定 
项 目 也 一 样 。 


如 果 是 的 下 的 模样 : 
[root@www ~]# vim /etc/httpd/conf/httpd.conf 


# 旗下 可 十 个 错误 的 示范 ， 请 仔细 看 下 个 段落 的 详细 说 明 喔 ! 


<Directory "/var/ www/html"> 
Options FollowSymLinks 
AllowOverride None 

Order deny,allow 

Deny from 192.168.1.101 
Deny from .gov.tw 

Allow from all 


</Directory> 


虽然 deny 会 先 挪 到 上 方 来 处 理 ， 不 过 因为 192.168.1.101 是 在 all 的 范 
围 内 ， 所 以 


发 生 重复 ， 因此 这 个 设 定 值 将 会 以 预 设 的 allow 为 主 ， 因 此 束 无 法 限 
制 住 这 个 


192.168.1.101 的 存 取 啦 ! 这 边 很 容易 搞 错 的 呐 ! 乌 哥 也 是 常常 搞 到 头 
和 昏 脑 胀 的 一 


例题 : 
如 果 有 个 应 该 要 保护 的 内 部 目录 ， 假设 在 /var/www/htmllan/ ， 我 仅 要 


让 192.168.1.0/24 这 个 网 域 可 以 浏 贤 的 话 ， 那 么 你 应 该 要 如 何 设 定 的 
好 ? 


这 个 案例 当中 有 扣 像 古 『 拒 绝 所 有 联机 ， 仪 接受 特定 联机 J 的 样子 ， 
因此 


可 以 使 用 deny,allow 那个 情况 ， 所 以 你 可 以 这 样 做 : 


<Directory "/var/www/html/lan"> 
Options FollowSymLinks 
AllowOverride None 
net.giang@hotmail.com 

O 

Order deny,allow 

deny from all 

allow from 192.168.1.0/24 


</Directory> 


事实 上 ， 如 果 想 要 让 某 个 网 域 或 者 是 IP 无 法 浏 哆 的话， 最 好 还 是 利用 
iptables 来 处 


理 比 较 妥 当 。 不 过 如 果 仅 是 茶 些 重要 目 孙 不 想 让 人 家 来 得 阅 的 话 ， 那 


么 这 个 allow， 
deny 与 order 的 设 定数 据 可 就 很 值得 参考 了 。 


而 除了 这 个 order 设 定 值 之 外 ， 我 们 还 有 个 限制 客户 端 能 进行 的 动作 的 
设 定 喔 ! 


那 束 古 Limit 这 个 设 是 啦 ! 举例 来 说 ， 如 归 我 们 想 要 让 用 户 在 


/var/ www/htmllan 这 


个 目 床下 仅 能 进行 最 阳 大 由 GET, POST OPTIONS 的 功能 ， 除 了 这 几 
个 之 外 的 其 他 功能 


通 不 允许 ， 那 么 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 


<Directory "/varwww/htmlylan"> 

AllowOverride none 

Options FllowSymLinks 

# 先 允 许 能 够 进行 GET POST 与 OPTIONS 图 
<Limit GET POST OPTIONS> 

Order allow,deny 

Allow from all 

</Limit> 

# 再 规定 除了 这 三 个 动作 之 外 ， 其 他 的 动作 通通 不 允许 啦 ! 
<LimitExcept GET POST OPTIONS> 

Order deny,allow 

Deny from all 

</LimitExcept> 

</Directory> 


透 过 Limit 与 LimitExcept 束 能 够 处 理 客户 端 能 够 进行 的 动作 啦 ! 也 就 
有 办 法 针对 你 


的 数据 进行 细部 保护 哩 。 不 过 这 些 保护 真 的 很 细部 ， 一 般 小 网 站 大 致 
上 用 不 到 Limit 


这 个 玩意 儿 说 。 


20.3.5 服务 器 状态 说 明 网 页 


既然 已 经 安装 好 了 WWW 服务 器 ， 除 了 提供 服务 之 外 ， 重 要 的 是 要 如 
何 维护 哆 ! 嘿 


咖 ! 那么 是 否 一 定 要 额外 安装 其 他 的 软件 才能 知道 目前 的 主机 状态 
呢 ? 当然 不 需要 啦 ! 
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我 们 可 以 透 过 Apache 提供 的 特别 功能 来 查询 主机 目前 的 状态 ! 那 就 是 


mod _status 这 


。 这 个 模块 默认 是 关闭 的 ， 你 必须 要 修改 配置 文件 来 局 动 他 
1 


[root@www ~]# vim /etc/httpd/conf/httpd.conf 

# 完 确 定夺 下 这 几 个 项 目 真 的 有 存在 才 行 ! 

LoadModule status_module modules/mod_status.so <== 大 约 在 178 行 ， 就 
是 模块 的 加 载 


ExtendedStatus On <== 大 约 在 228 行 ， 你 可 以 将 他 打开 ， 信息 会 比较 
和 1! 
多 | 


# 旗下 的 数据 则 大 约 在 924 行 左 右 ， 你 可 以 将 他 修改 成 为 这 样 : 


<Location /server-status> 
SetHandler server-status 
Order deny,allow 

Deny from all 

Allow from 192.168.1.0/24 


Allow from 127.0.0.1 


</Location> 
[root@www ~]# /etc/init.d/httpd restart 


接 下 来 你 只 要 在 你 的 网 址 列 输入 主机 名 后 面 加 上 http://hostname/server- 


status 即 
可 发 现 如 下 的 模样 : 
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Apache Status - Mozilla Firefox 
档案 古 编辑 巴 榨 视 ( 雄 历史 他 书 略 B 工具 位 说 明王 


Apache Server Status for 192.168.1.100 


Server Version: Bpache/2.2.15 (Uniz) DAVI2 PHP/IS.3.2 mod pythor3.3.1 
Python2.6.5 mod berly2.0.4 Perlyv5.10.1 
Server Bult Jul ? 2011 11:30:37 


Cutrent Time: londay, 08-A&ug-2011 14:10:55 CST 
了 及 estatt Time: Nonday, 08-Aug-2011 14:10:42 CST 
Parent Server Generation: 1 

Server uptime: 12 seconds 

Tetal accesses: 0 - Total Traffic: 0 kB 

CPU Usage: ud s0 cu0 cs0 

D0 requestsisec - 0 Bisecond - 

1 reaquests currently beineg processed, 7 1dle workers 
4 


名 
图 20.3-2、 服 务 占 目前 的 状况 回报 网 页 


输出 的 结果 包括 目前 的 时 间 以 及 Apache 重新 启动 的 时 间 ， 还 有 目前 已 
经 启动 的 程 


予 等 等 ， 还 有 网 页 最 下 方 会 显示 每 个 程序 的 客户 闻 与 服务 器 端的 联机 


的 状况 挺 阳 春 ， 不 过 该 有 的 也 都 有 了 ， 可 以 让 你 约略 了 解 一 下 服务 大 
的 状况 中。 要 注 


意 喔 ， 可 查阅 者 (allow from 的 参数 ) 还 是 需要 限制 的 比较 严格 一 点 啦 ! 
20.3.6 .htaccess 与 认证 网 页 设 定 


对 于 保护 Apache 本 里 的 数据 方面 ， 除 了 上 壕 的 Order 以 及 Limit 之 
外 ， 还 有 什 


么 方式 呢 ? 因为 Order 与 Limit 主要 是 针对 IP 网 域 或 者 是 主机 名 来 管 
理 ， 那 如 采 


我 们 客户 端 定 使 用 拨 接 方式 取得 耻 ， 那 么 IP 会 一 直 变 动 的 ， 如 此 一 来 
那个 保护 的 目 


录用 户 也 束 不 能 在 任何 地 方 进入 了 ， 会 造成 一 些 困 扰 。 


此 时 如 采 能 够 使 用 密码 保护 的 方式 ， 让 用 户 可 以 输入 账号 /密码 即 可 取 
得 六 贤 的 权 


限 的 话 ， 那 客户 端 就 不 用 受到 那个 order 的 Allow, deny 的 限制 啦 ! 真 
好 一 呵呵 ! 


Apache 确实 刚好 有 提供 一 个 简单 的 认证 功能 ， 让 我 们 可 以 轻松 愉快 的 
束 设 定好 密码 你 


护 的 网 页 呢 ! 


net.qiang@Ohotmail.com 


Tips: 

什么 是 受 保护 的 数据 呢 ? 举例 来 说 ， 学 校 老 师 们 可 能 会 提供 一 些 教 
学 教材 或 者 是 习题 给 同学 ， 这 些 数据 不 想 给 所 有 人 取得 ， 那 么 就 可 
以 将 这 些 数据 放 在 特定 的 受 保 护 的 目录 中 。 还 有 例如 某 些 重要 的 

Apache 服务 器 分 析 的 数据 (本 章 后 面 提 及 的 一 些 分 析 工 具 )， 这 些 

数据 建 置 的 方法 需要 局 用 CGI 程序 ， 而 CGI 程序 的 执行 是 有 风险 
的 ， 而 且 那 些 分 析 所 得 的 数据 也 很 重要 。 此 时 ， 该 程序 与 输出 结 

就 需要 放 在 受 保护 的 目录 啦 ! 

那么 那个 认证 网 页 如 何 搞定 ? 简单 的 说 ， 他 要 这 样 处 理 : 


1. 建立 受 保护 的 目录 : 既然 我 们 是 『 按 了 某 个 链接 进入 某 个 目录 之 
后 ， 才 会 出 

现 对 话 窒 口 4」 ， 那么 首先 当然 就 是 要 有 那个 设 定 为 认证 网 页 的 『 目 
隶 」 史 ! 请 

注意 ， 是 要 目录 才 行 喔 ! 


Apache 所 需 参数 ， 然 后， 在 对 话 窗口 中 ， 既 然 我 们 需要 输入 账 
号 与 密 

码 ， 那 么 自然 束 需 要 密码 文件 虽 ! 另外 ， 虽 然 Apache 有 支持 LDAP 
及 MySQL 等 

等 的 认证 机 制 ， 不 过 我 们 这 里 并 不 讨论 其 他 的 认证 机 制 ， 完全 使 用 
Apache 的 

默认 功能 而 已 ， 所 以 ， 底 下 我 们 会 使 用 基本 (Basic) 的 认证 模式 喔 ! 


3. 建立 密码 档案 : 处 理 完 基本 的 设 定 后 ， 再 来 则 是 建立 登入 时 所 需要 
的 账号 与 


密码 
4. 最 后 ， 重 新 启动 Apache 就 OK 啦 ! 


其 中 ， 第 二 个 步 怠 会 比较 有 元， 我 们 说 过 ， 任 何 的 十 资 料 部 可 以 直 
写 到 


httpd.conf 这 个 配置 文件 当中 ， 所 以 设 定 保护 目录 的 参数 数据 确实 可 以 
写 入 


httpd.conf 当中 。 不 过 ， 想 一 想 ， 如 采 你 的 Apache 服务 右 有 30 个 使 用 
者 具有 个 人 


首页 ， 然 后 他 们 都 需要 制作 保护 目录 ， 那 个 httpd.conf 只 有 身 为 root 的 
你 才能 够 修 


改 ， 更 可 怕 的 是 『 每 次 改 完 都 需要 重新 启动 ApacheJ 一 请 问 ， 你 的 时 


间 精 力 是 否 会 受 

到 『 很 严厉 的 考验 ? J 

所 以 啦 ， 如 果 我 们 能 够 透 过 外 部 的 档案 来 取代 设 定 httpd.conf 内 的 参 
数 ， 那 么 是 


那 人 


否 会 比较 好 ? 而 且 最 好 能 够 该 档案 设 定 即 生效 ， 不 需要 重新 启动 
Apache 的 话 ， 那 就 


更 好 啦 ! 因为 如 此 一 来 ， 你 吏 可 以 交 给 使 用 者 目 行 管理 他 们 的 认证 网 
页 哆 ! 呵呵 一 透 


过 httpd.conf 内 的 AllowOverride 参数 ， 配 合 .htaccess 这 个 档案 的 设 定 
束 OK 搞 


定 ! 这 个 设 定 项 目 与 配置 文件 httpd.conf 的 关系 可 以 这 样 看 : 
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使 用 者 泗 呼 jvar/www; re 
时 并 好 参 考 系 统 设 定 的 权限 


划 warwwwihtmlprotect/.htaccess 

仔 在 时 该 档案 的 内 容 识 定 参 数 中 ， 
组 AuthConfig 有 了 关 的 将 会 取代 

httpd,conf 上 的 设 定 


<Directory “warwwwihtmliprotect”> 
AllowOverrmde AuthContig 
/站 是 否 在 * 
</Directory> 上 若 存 在 ， a .htaccess 的 误 ee 


最 裕 结果 ， 契 ,htaccess 


2. 若 不 存在 ' 以 httpd.conf 设 定 骨 准 


图 20.3-3、.htaccess 与 主要 配置 文件 httpd.conf 的 相关 性 
也 残 是 说 : 


0 主 配置 文件 httpd.conf 的 修订 : 你 必需 要 在 httpd.conf 这 个 主 配 置 文 
件 


当中 先 以 AllowOverride 指定 某 个 目 孙 下 的 .htaccess 能 够 进行 取代 的 参 
数 


为 何 ? 一 般 有 AuthConfig, Options 等 等 ， 考 虑 到 系统 数据 的 安全 ， 建 
议 提供 


AuthConfig 的 项 目 就 好 了 。 设 定 完毕 后 请 重新 启动 Apache 。 
D .htaccess 放置 的 目录 在 受 保 护 的 目 孙 底下 务必 要 存在 .htaccess 这 个 
档案 ， 透 过 这 个 档案 即 可 修改 httpd.conf 内 的 设 定 啊 ! 


D .htaccess 的 修改 : .htaccess 设 定 完了 立刻 生殖 上 」， 不 需要 重新 启动 
Apache, 


因为 该 档案 的 内 容 是 『 当 有 客户 端 浏 览 到 该 目 永 时， 该 档案 才 会 被 使 
用 来 取代 原 


有 的 设 定 。 


既然 .htaccess 的 用 途 比 较 广 ， 所 以 展 下 我 们 不 介绍 httpd.conf 的 认证 参 
数 了 ， 


请 你 自行 测试 即 可 。 底 下 主要 以 .htaccess 档案 的 设 定 为 主 喔 ! 赶紧 来 
看 看 吧 | 


0 
1. 建立 保护 目录 的 数据 


假设 我 要 将 受 保 护 的 数据 放置 到 /var/www/html/protect 当中 ， 记 得 ， 这 
个 目录 


要 让 Apache 可 以 浏览 到 才 行 。 所 以 你 可 以 立刻 将 一 些 重要 的 资料 给 他 
搬移 到 这 里 来 。 


我 们 先 这 样 测试 一 下 吧 ! 建立 个 简单 的 测试 网 页 即 可 。 
[root@www ~]# mkdir /var/ www/html/protect 
[root@www ~]# vim /var/rwww/html/protect/index.html 
<html> 

<head><title> 这 是 个 测试 网 页 啊 ! </title></head> 
<body> 看 到 这 个 画面 了 吗 ? 如 果 看 到 的 话 ， 

表示 你 可 以 顺利 进入 本 受 你 护 网 页 
net.giang@hotmail.com 

啦 | 

</body></html> 

[0 

2.1 以 root 的 吴 份 处 理 httpd.conf 的 设 定数 据 


这 个 动作 仅 有 root 能 作 啦 ! 你 要 开始 编辑 httpd.conf ， 


目录 可 

以 使 用 .htaccess 啊 ! 

[root@www ~]# vim /etc/httpd/conf/httpd.conf 
# 确定 底下 这 几 行 是 存在 的 ， 约 在 400 行 左右 ! 
AccessFileName .htaccess 

<Files ~ "MN\.ht"> 

Order allow,deny 

Deny from all 

Satisfy All 

</Files> 

# 在 某 个 不 受 影响 的 地 方 加 入 这 一 段 : 
<Directory "/var/www/html/protect"> 
AllowOverride AuthConfig 

Order allow,deny 

Allow from all 


</Directory> 


让 受 保护 的 那个 


[root@www ~]# /etc/init.d/httpd restart <== 重 新 启动 ， 不 要 起 记 了 了! 
这 样 惑 设 定 妥 当 了 ， 很 简单 吧 ! 再 接 下 来 要 准备 .htaccess 的 建立 了 。 


0 


2.2 建立 保护 目录 下 的 .htaccess 档案 ， 只 要 有 权限 建立 者 即 可 进行 


要 注意 ， 这 个 档案 是 在 保护 目录 的 下 喔 ! 不 要 放 错 地 方 啦 ! 所 以 你 要 
这 样 做 : 


[root@www ~]# cd /var/ www/html/protect 
[root@www protect]# vim .htaccess 

# 只 要 加 入 压 下 这 几 行 即 可 

AuthName "Protect test by .htaccess" 
Authtype Basic 

AuthUserFile /var/www/apache.passwd 
net.giang@hotmail.com 

require user test 

这 些 参数 的 意义 是 这 样 的 : 


0 AuthName: 在 要 你 输入 账号 与 密码 的 对 话 窗口 中 ， 出 现 的 『 提 示 字 
和 从 J] 


0 AuthType: 认证 的 类 型 ， 我 们 这 里 仅 列 出 Apache 预 设 的 类 型 ， 亦 即 
是 『basicy 

的 啦 

0 AuthUserFile: 这 个 保护 目 孙 所 使 用 的 账号 密码 配置 文件 。 也 殉 是 
说 ， 这 

个 档案 是 随便 你 设 定 的， 当然 啦 ， 所 以 使 用 者 当然 可 以 目 行 设 定 账号 
与 密码 喝 。 


档案 内 的 账号 不 限 在 /etc/passwd 出 现 的 使 用 者 ! 另外 ， 这 个 档案 不 要 
放置 在 


Apache 可 以 浏览 的 目录 内 ， 所 以 我 将 他 放电 在 首页 之 外 ! 和 避免 术 不 小 
心 窃取 。 


Drequire: 后 面授 可 以 使 用 的 账号 。 假 如 /var/www/apache.passwd 内 有 


个 账号 ， 分别 是 test, testl, test2 ， 屠 我 这 里 只 写 了 test ， 因 此 test1， 


test2 将 无 法 登入 此 目录 。 如果 要 让 该 密码 文件 内 的 用 户 都 能 够 登入 ， 
束 改 成 


Trequire valid-userJ 即 可 啊 ! 
设 定好 就 立刻 生效 了 ， 不 需要 重新 启动 任何 东西 啊 ! 
3. 建立 密码 档案 htpasswd (只 要 有 权限 即 可 执行 ) 


Apache 默认 读 取 的 账号 /密码 设 定数 据 是 由 htpasswd 所 建立 的 ， 这 个 指 
令 的 语法 


征 这 样 的 : 


[root@www ~]# htpasswd [-cmdD] 密码 文件 文件 名 用 户 账号 
选项 与 参数 : 


建立 后 面 的 密码 档案 。 如 果 该 档案 已 经 存在 ， 则 原本 的 数据 会 被 
删除 


所 以 如 果 只 是 要 新 增 使 用 者 (档案 已 存在 时 )， 不 必 加 上 -c 的 参数 ! 
-m : 不 使 用 预 设 的 CRYPT 加 密 ， 改 用 MD5 方式 加 密 密 码 ! 

-d : 使 用 更 复杂 的 SHA 方式 来 加 密 ! 

-D : 删除 掉 后 面 接 的 那个 使 用 者 账号 ! 


#1. 建立 apache.passwd ， 账 号 为 test 
[root@www ~]# htpasswd -c /var/www/apache.passwd test 


New password: <== 这 里 输入 一 次 密码 ， 注 意 ， 屏 人 幕 不 会 有 任何 讯 忌 


[© 


Re-type new password: <== 这 里 再 输入 一 次 

Adding password for user test 

[root@www ~]#cat /varwwwy/apache.passwd 
test:FIquw/..iS4yo <== 你 瞧 瞧 ! 已 经 建立 一 个 新 使 用 者 ! 
net.giang@hotmail.com 


x| 
i http:W192.169.1.100 要 求 输入 帐 叶 及 密码 ， 训 桨 站 况 : "Protect test by .htaccess”" 


使 用 者 名 焰 : | test 
密码 : | @@@ 估 | 


取消 


O 
#2. 在 已 存在 的 apache.passwd 内 增加 testl 这 个 账号 : 
[root@www ~]# htpasswd /var/www/apache.passwd test1 


再 次 强调 ， 这 个 档案 档 名 需要 与 .htaccess 内 的 AuthUserFile 相同 ， 且 
不 要 放 在 浏 


览 器 可 以 浏览 到 的 目录 ! 这 样 就 算 设 定 完毕 啦 ! 你 可 以 使 用 浏览 器 在 
网 址 列 输入 : 


Thttp:/yourhostname/protectJ 试看 看 ， 结 采 会 如 何 ? 会 像 原 下 这 个 样 


图 20.3-4、 浏 览 到 受 保护 的 目录 时 ， 浏 贤 右 出 现 的 提示 窗口 示意 图 


如 果 你 曾经 浏览 过 这 个 目录 了 ， 当 时 可 能 尚未 制作 保护 的 档案 ， 或 者 
是 档案 设计 钳 


误 ， 导 致 你 曾经 可 以 浏览 该 网 页 ， 则 该 网 页 会 被 你 的 浏 贤 古 快 取 
(cache) 起 来 ， 所 以 


可 登入 的 画面 会 一 再 地 出 现 而 不 会 跑 出 需要 认证 的 对 话 窗口 。 此 时 你 
应 该 要 : 


Dn 再 重 狐 启动 浏 贤 絮 。 因 为 你 成 功 的 登入 
该 目 5 


后 ， 该 次 登入 的 信息 会 快 取 在 这 次 的 联机 上 喔 ! 


0 可 以 将 浏 贤 器 上 涉 的 『reload (重新 读 取 )J4 按 下 去 ， 让 浏 哎 此 重新 读 
取 一 


次 ; 否则 快 取 不 会 更 新 。 
人 ， 天 闭 浏 览 右 后 再 重新 启动 浏 览 融 


如 果 还 是 一 直 出 问题 ， 那 束 只 好 前 往 登 录 档 (/var/log/httpd/error_log) 察 
看 错 


误 信 息 踊 。 音 见 的 错误 只 坪 打 错字 啦 ! @_@ 
20.3.7 虚拟 主机 的 设 定 (重要 ! ) 


接 下 来 我 们 要 谈 的 是 了 主机 代 管 」... 瞎 密 ? 不 是 啦 一 是 一 个 称 为 虚拟 主 
机 的 东西 


啦 一 这 东西 很 有 用 喔 ! 他 可 以 让 你 的 一 部 Apache 看 起 来 像 有 多 个 『 主 
站 首页 4 的 感觉 


啦 ! 


什么 是 虚拟 主机 (Virtual Host) 
net.giang@hotmail.com 


所 谓 的 虚拟 主机 ， 基 本 上 融 是 工 让 你 的 一 部 服务 右上 面 ， 有 好 多 个 " 主 
网 页 " 存在 ， 


也 束 是 说 ， 硬 件 实际 上 只 有 一 部 主机 ， 但 是 由 网 站 网 址 上 来 看 ， 则 似 
乎 有 多 部 主机 存在 


的 样子 ! 4。 举 个 例子 来 说 好 了 ， 乌 哥 提供 的 网 站 主要 有 主要 学 习 网 
站 以 及 新 手 讨论 


区 ， 分 别 在 底下 的 连结 : 
0D 主 网 站 :_http:/Ninux.vbird.org 
吕 过 论 区 : http:/phorum.vbird.org 


这 两 个 连结 你 给 他 点 下 去 ， 会 发 现 其 实 是 不 同 的 
果 你 用 dig 之 


类 的 软件 来 查验 IP 的 话 ， 会 发 现 这 两 个 网 址 都 指 同 同一 个 IP 八 ! 怎么 


会 这 样 ? 没 错 


啊 ! 这 就 是 虚拟 主机 的 主要 功能 ! 他 可 以 让 你 的 多 个 主机 名 对 应 到 不 
同 的 主 网 页 目 永 


(DocumentRoot 参数 )， 所 以 看 起 来 会 像 有 多 部 实际 主机 的 模样 啦 ! 这 
样 说， 了 解 虚 拟 


主机 了 吗 ? 
四 
架设 的 大 前 提 : 同一 个 IP 有 多 个 主机 名 啦 ! 


分 


料 内 容 ， 不 过 ， 如 


避 


那么 要 以 设 虚 拟 主机 需要 什么 吃 噬 呢 ? 以 刚刚 乌 哥 的 网 站 的 结果 为 
例 ， 我 必需 要 有 


多 个 主机 名 对 应 到 同一 个 IP 去 ， 所 以 说 ， 你 必需 先 拥 有 多 个 主机 名 才 
行 。 要 如 何 拥 


有 多 个 主机 名 ? 那 殉 是 : 
0 厅 ISP 申请 多 个 合法 的 主机 名 ， 而 不 目 己 架设 DNS; 
0 自行 设 定 经 过 合法 授权 的 DNS 主机 来 设 定 自己 所 需要 的 主机 名 。 


相关 的 DNS 你 可 得 上 自行 去 瞧 
瞧 先 ! 

0D 

一 个 架设 范例 练习 : 


我 们 在 第 士 九 昔 DNS 里 面 不 是 有 设 定 了 多 个 主机 名 吗 ? 那些 主机 名 就 
是 为 了 要 


在 这 里 实 作用 的 啦 ! 和 人 和! 你 得 要 注意 的 是 ， 我 的 每 个 主机 名 都 必需 要 
对 应 到 茶 个 主 网 


页 目录 ， 属 下 则 古 马 哥 的 一 个 简单 苑 例 : 
主机 名 
对 应 的 主 目录 


linux.centos.vbird 


/var/www/html 


www.centos.vbird 


/Var/WWW/WWW 


ftp.centos.vbird 
/varftp ( 较 特殊 ) 


接 下 来 就 是 开始 设 定 嗓 ! 要 告诉 你 的 是 ， 建 议 你 将 虚拟 主机 的 设 定 建 
立 一 个 新 的 档案 在 


/etc/httpd/conf.d/*.conf 当中 ， 因 为 如 此 一 来 你 的 虚拟 主机 配置 文件 束 可 
以 进行 搬 
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移 ， 修 改 的 时 候 也 不 会 影响 到 原 有 的 httpd.conf 的 资料 ! 而 因为 
httpd.conf 内 有 


个 Include 的 参数 将 /etc/httpd/conf.d/*.conf 的 档案 都 读 入 配置 文件 当 
中 ， 所 以 


设 定 上 面 就 变 的 很 轻便 ， 备份 与 升级 的 时 候 也 比较 容易 处 理 嘛 ! 不 史 
唆 ， 赶 紧 来 实验 


= 

#1. 先 建立 所 需要 的 目 邓 : 

[root@www ~]#mkdir /var/www/www <==www.centos.vbird 所 需 ! 
[root@www ~]# yum install vsftpd <==/var/ftp 可 由 系统 软件 提供 
[root@www ~]# echo "www.centos.vbird" > /var/ www/www/index.html 


[root@www ~]# echo "ftp.centos.vbird" > /var/ftp/index.html 


# 原 有 的 首页 (var/www/html) 就 不 更 动 了 ! 另 建 两 个 不 同 的 首页 内 
容 ， 可 


供 测试 用 。 
# 2. 开始 编辑 配置 文件 ， 这 里 乌 哥 用 额外 的 档案 来 设 定 喔 ! 


[root@www ~]# vim /etc/httpd/conf.d/virtual.conf 


# 底下 这 一 行 在 规定 【本 机 任何 接口 的 port 80 所 指定 的 虚拟 主机 4 的 


田 。 
局 /LU 


NameVirtualHost *:80 


# 先 针 对 两 个 多 出 来 的 可 浏览 目录 进行 权限 方面 的 规范 啊 ! 


<Directory "/Var/WwW/Wwww"> 
Options FollowSymLinks 
AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

<Directory "/var/ftp"> 

Options FollowSymLinks Indexes 
AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 

# 针对 三 部 主机 的 DocumentRoot 进行 定 ! 
<VirtualHost *:80> 


ServerName linux.centos.vbird 


DocumentRoot /var/www/html 

</VirtualHost> 

<VirtualHost *:80> 

ServerName www.centos.vbird 

DocumentRoot /varwww/www 

CustomLog /var/log/httpd/www.access_log combined 
# 不 同 的 主页 可 以 指定 不 同 的 登录 文件 信息 ， 这 样 比较 好 debug 与 分 析 
啦 | 
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</Virtual Host> 

<VirtualHost *:80> 

ServerName ftp.centos.vbird 

DocumentRoot /var/ftp 

</Virtual Host> 

[root@www ~]# /etc/init.d/httpd restart 

你 要 注意 的 只 有 几 点 : 


1. 在 虚拟 主机 的 设 定 上 还 有 很 多 的 可 用 的 功能 ， 不 过 ， 最 低 的 限度 是 
需要 有 


ServerName 及 DocumentRoot 这 两 个 即 可 ! 


2. 使 用 了 虚拟 主机 后 ， 原 本 的 主机 名 (linux.centos.vbird) 也 要 同时 写 入 


虚 


拟 主机 的 对 应 中 ， 否 则 这 个 主机 名 可 能 会 不 知道 被 丢 到 哪里 去 喔 ! 
3. 在 www.centos.vbird 这 个 主机 当中 多 了 个 CustomLog ， 表 示 任 何 问 


www.centos.vbird 要 求 数据 的 记录 都 会 改写 入 


/Var/log/httpd/www.access_log 而 不 是 预 设 的 /var/log/httpd/access_log 。 


但 这 个 新 增 的 登录 档 必需 要 加 入 logrotate 的 管理 当中 才 行 喔 ! 否则 登 
录 档 会 


大 到 『 爆 表 ] 


接 下 来 ， 只 要 你 客户 问 的 浏览 絮 可 以 找到 这 三 个 主机 名 并 联机 到 正确 
的 PP 去 ， 你 


这 个 Apache 就 可 以 同时 提供 三 个 网 站 的 站 址 了 ， 很 方便 吧 ! 和 信人。 


0 

虚拟 主机 第 见 用 途 

虚拟 主机 为 什么 会 这 么 热门 啊 ? 这 是 因为 他 可 以 进行 原 下 的 任务 : 
由 宇宙 全 千 : 


如 果 你 有 一 部 很 快速 的 计算 机 ， 配 合 你 的 网 络 带 视 又 大 的 话 ， 那 么 你 
可 以 用 这 个 


虚拟 主机 的 技术 来 【拉客 」 喔 ! 因为 毕竟 不 是 所 有 公司 都 有 维护 服务 
如 的 能 力 


如 果 你 能 够 提供 合理 的 流量 、 亲 和 的 数据 传输 接口 、 稳 定 的 提供 服 


务 ， 并 且 给 


予 类 似 MYSQL 数据 库 的 支持 ， 那 么 当然 有 可 能 进行 『 主 机 代 管 4 的 业 
务 啊 ! 你 


说 是 吧 ! 和信 信 


0 服务 右 数 据 备 援 系统 : 


你 可 以 在 两 个 地 方 放置 两 部 主机 ， 主 机 内 的 网 页 数据 是 一 模 一 样 的 (这 
个 可 以 使 


用 rsync 来 达成 的 ) ， 那 么 你 将 可 以 利用 Apache 的 虚拟 主机 功能 ， 配 
合 DNS 


的 IP 指向 设 定 ， 证 某 一 部 主机 挂 点 时 ， 另 外 一 部 主机 立刻 接管 WWW 
的 要 求 ! 让 


服务 絮 不 会 有 任何 断 线 的 危机 啊 ! ^ 人 和 ^( 注 : 当 A 服务 器 挂 
点 时 ， 赶 


导 同 B，B 有 A 的 备份 数据 以 及 虚拟 主机 设 定 ， 摘 定 ! ) 
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虱 
吕 将 自己 的 资料 分 门 别 类 ; 


如 果 野 心 没 有 这 么 大 的 话 ， 那 么 如 条 你 有 几 个 不 同 的 数据 类 型 时 ， 也 
可 以 利用 庶 


ee ! 例如 将 部 落 格 指向 blog.centos.vbird 
将 让 


论 区 指 问 forum.centos.vbird ， 将 教学 数据 指 癌 teach.centos.vbird 等 等 ， 
这 样 的 网 址 束 很 容易 让 客户 端 了 解 啦 ! 你 说 是 吧 ! 和 人 入 
20.4 登录 文件 分 析 以 及 PHP 强化 模块 


除了 这 些 基本 的 Apache 使 用 方式 之 外 ， 我 们 还 有 哪些 事情 可 以 玩 的 ? 
当然 还 有 很 


多 啦 ! 包括 有 趣 的 PHP 效能 强化 模块 、 登 录 文 件 分 析 以 了 解 整个 
Apache 的 使 用 情况 


等 等 ! 让 我 们 来 瞧 一 瞧 ! 
20.4.1 PHP 强化 模块 (eaccelerator) 与 Apache 人 简易 效能 测试 


虽然 PHP 网 页 程序 标榜 的 是 速度 快速 ， 不 过 因为 PHP 毕竟 是 先 将 一 些 
可 用 函数 先 

编译 成 为 模块 ， 然 后 当 网 页 使 用 到 该 PHP 程序 的 时 候 ， 再 由 呼叫 PHP 
模块 来 达成 程序 

所 需要 的 行为 。 由 于 多 了 一 道 手续 ， 所 以 他 的 执行 效能 还 是 有 另 
统 编译 的 程序 语 


— 


CY 


| 于 传 


H 罗 。 


如 采 我 们 可 以 将 PHP 程序 预 完 转 换 成 为 可 直接 执行 的 binary file， 
不 束 可 


以 直接 读 取 进而 加 快速 度 吗 ? 没 错 ! 是 这 样 ~ 这 东西 称 为 预 编 器 一 其 
中 有 一 套 软 件 称 


为 eaccelerator，eaccelerator 可 以 将 你 的 PHP 程序 与 PHP 核心 及 相关 画 
式 库 预 允 


编译 后 暂 存 下 来 ， 以 提供 未 来 使 用 时 可 以 直接 执行 ， 加 上 他 可 以 优化 
你 的 PHP 程序 ， 


因此 ， 可 以 让 你 的 PHP 网 页 速度 增 快 不 少 喔 ! eaccelerator 的 官方 网 站 
在 的 下 : 


ll 


LD http://eaccelerator.net/ 


整个 安装 的 流程 很 简单 啦 ! 你 先 将 这 个 软件 的 原始 码 下 载 下 来 ， 我 这 
里 假设 你 将 他 


下 载 到 /root 目录 下 ， 男 外 你 必需 要 确定 你 有 安装 php-devel, autoconf， 


automake, 


m4, libtool 等 软件 才 行 ! 那 束 赶 紧 来 安装 吧 ! ( 鸟 哥 是 以 0.9.6.1 这 一 版 
为 范例 的 


嘱 ! ) 

#1. 解压 缩 文 件 案 ， 并 且 进 行 patch 的 动作 : 
[root@www ~]# cd /usr/local/src 

[root@www src]# tar -jxvtf /root/eaccelerator-0.9.6.1.tar.bz2 
[root@www src]# cd eaccelerator-0.9.6.1/ 

# 2. 利用 phpize 进行 PHP 程序 的 预 处 理 
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[root@www eaccelerator-0.9.6.1]# phpize 

# 过 程 会 出 现 一 些 警 告 信息 ， 不 要 理 他 没关系 ! 
[root@www eaccelerator-0.9.6.1]# ./configure 
--enable-eaccelerator=shared \ 

> --with-php-config=/usr/bin/php-config 
[root@www eaccelerator-0.9.6.1]# make 

# 3. 将 他 整个 安装 起 来 ! 


[root@www eaccelerator-0.9.6.1]# make install 


# 此 时 这 个 新 编译 的 模块 会 被 放置 到 
/usr/lib64/php/modules/eaccelerator.so 当中 ! 


将 模块 处 理 完毕 之 后 接 下 来 就 是 要 让 PHP 使 用 这 个 模块 啦 ! 如 何 进行 
呢 ? 


#1. 预先 加 载 这 个 PHP 的 模块 : 

[root@www ~]# echo "/usr/lib64/php/modules/" >>\ 

> /etc/ld.so.conf.d/php.conf 

[root@www ~]# ldconfig 

# 天 于 ld.so.conf 以 及 ldconfig 我 们 在 基础 篇 谈 过 了 ， 请 目 行 参考 喔 ! 
# 2. 修改 php.ini 喔 ! 

[root@www ~]# vim /etc/php.ini 


# 在 这 个 档案 的 最 确 下 加 入 这 儿 行 


和 全 和 和 生生 和 入 和 且 22 人生 2223223232 
; http://eaccelerator.net/ ; 


; 2011/08/08 VBird ; 


extension="eaccelerator.so" 
eaccelerator.shm_size="16" 
eaccelerator.cache_dir="/tmp/eaccelerator" 


eaccelerator.enable="1" 


eaccelerator.optimizer="1" 
eaccelerator.check_mtime="1" 
eaccelerator.debug="0" 
eaccelerator.filter="" 
eaccelerator.shm_max="0" 
eaccelerator.shm_ttl="0O" 
eaccelerator.shm_prune_period="0" 
eaccelerator.shm_only="0" 
eaccelerator.compress="1" 


eaccelerator.compress_level="9" 
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phpinfoO - Mozilla Firefox 


档案 加 ”编辑 蔬 ， 检视 好 历史 他 书 略 号 工具 避 说 明 U 
€ |) hp/92.168.1.100/phpinto php 人 Gooal 


eAccelerator 


Caching Enabled 
Optimizer Enabled 
Check mtime Enabled 


Memoyse | 


# 3. 建立 eaccelerator 的 暂 存 数据 ， 重 点 在 于 权限 要 设 定 正确 ! 
[root@www ~]# mkdir /tmp/eaccelerator 

[root@www ~]# chmod 777 /tmp/eaccelerator 

[root@www ~]# /etc/init.d/httpd restart 


基本 上 这 样 就 设 定 妥 当 啦 ! 要 注意 的 是 : 『 因 为 你 的 eaccelerator 是 根 
据 目 前 这 一 版 


的 PHP 核心 所 编译 出 来 的 ， 所 以 未 来 如 果 你 的 Linux distribution 有 释 
出 新 版 的 


PHP 时 ， 你 也 顺利 更 新 到 新 版 的 PHP 了 ， 那 你 的 这 个 eaccelerator 就 必 
需要 自行 手 


动 再 更 新 一 次 ， 以 配合 到 正确 的 PHP 版本， 否则 这 个 模块 将 不 会 正确 
运作 。J ! 很 重 


要 喔 ! 
ee 正确 的 在 运作 呢 ? 你 可 以 利用 20.2.4 小 市 谈 到 


phpinfo() 这 个 芳 式 来 查阅 ， 通 过 浏 宽 絮 你 应 该 会 看 到 如 下 的 画 
图 20.4-1、 确定 eaccelerator 有 运作 的 画面 


如 果 你 的 eaccelerator 没有 局 动 的 话 ， 那 就 看 不 到 上 图 的 画面 啦 ! 戎 由 
这 个 荔 作 

来 测试 测试 吧 ! 入! 接 下 来 我 们 利用 Apache 提供 的 一 个 小 程序 来 测 
试 一 下 我 们 网 


站 的 效能 吧 ! 这 个 程序 叫做 ab ， 他 可 以 主动 的 向 主机 重复 要 求 多 笔 数 
据 来 确认 主机 


的 效能 喔 ! 
[root@www ~]#ab [-dSk] [-cnumber] [-n number] 网 页 档 名 
选项 与 参数 : 


-d : 不 要 显示 saved table 的 百分比 资料 ， 通 常 不 要 那个 数据 ， 所 以 会 
加 -d 


-k : 还 记得 上 面 的 KeepAlive 吧 ! 加 入 -k 才 会 以 这 样 的 功能 测试 ; 
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名 

-S : 不 显示 长 讯 尽 ， 仪 显示 类 似 min/avg/max 的 简短 易 民 讯 尽 ! 

-Cc : 同时 有 多 少 个 『 同 时 联机 J 的 设 定 (可 想 成 同时 联机 的 IP ) 


-n : 同一 个 联机 建立 几 个 要 求 通道 ! (可 想 成 同一 个 IP 要 求 的 几 条 联 
机 ) 


更 多 的 讯 奶 请 目 行 man ab 喔 | 
# 针对 我 们 刚刚 测试 时 的 phpinfo.php 这 个 档案 来 测试 ! 


[root@www ~]# ab -dSk -c100 -n100 http://localhost/phpinfo.php 


This is ApacheBench, Version 2.3 <$Revision: 655654 $> 

Copyright 1996 Adam Twiss, Zeus Technology Ltd， 
http://www.zeustech.net/ 

Licensed to The Apache Software Foundation, http://www.apache.org/ 
… 中 间 省 略 .… 


Document Path: /phpinfo.php 


Document Length: 54204 bytes 

… 中 间 省 略 .… 

Total transferred: 5436100 bytes 

HTML transferred: 5420400 bytes 

Requests per second: 39.97 [#/sec] (mean) 

Time per request: 2501.731 [ms] (mean) 

Time per request: 25.017 [ms] (mean, across all concurrent 
requests) 

Transfer rate: 2122.01 [Kbytes/sec] received 

… 底 下 省 略 ..… 


根据 这 个 软 什 的 输出 你 会 知 违 每 秒 钟 的 传输 速率 、 最 大 传输 速度 等 
等 ， 可 以 约略 知道 


下 基本 效能 啦 ! 不 过 乌 哥 这 个 程序 是 在 自己 机 器 上 面 测试 的 ， 速 度 快 
征 正 党 的 ! 你 可 


以 在 网 络 的 另 一 头 来 测试 一 下 说 ! ( 注 : 这 个 ap 程序 对 于 读 取 MySQL 
之 类 的 网 页 似 


乎 没有 办 法 成 功 的 完成 测试 的 样子 ， 你 应 该 以 较 单 纯 的 网 页 来 测试 
吧 ! ) 


20.4.2 syslog 与 logrotate 

请 特别 注意 ， 我 们 的 Apache 登录 文件 主要 记录 两 个 东西 ， 分 别 是 

吕 /var/log/httpd/access_log : 用 户 端正 常 要 求 的 记录 信息 

吕 /var/log/httpd/error_log : 用 户 错误 要 求 的 数据 ， 包 括 服务 事 设 定 错误 


的 信息 等 。 


那个 /var/log/httpd/error_log 可 以 让 你 处 理 很 多 设 定 错误 的 情况 ， 包 括 
网 页 找 


不 到 、 档案 权 限 设 定 错误 、 密 码 档 案 文 件 名 填 错 等 等 。 至 于 access_log 
则 可 以 让 你 


分 析 那 个 网 页 最 热门 ! ^A! 不 过 你 可 得 注意 的 是 : 


『 在 稍 有 规模 的 网 站 下 ，Apache 的 
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< J 
re 
0 


登录 文件 每 周记 录 量 甚至 可 达 1GB 以 上 J 的 纪录 。 以 乌 哥 的 主 网 站 来 


说 ， 一 个 星期 通 
近 1GB 的 登录 档 是 合理 的 .… 


不 过 ， 因 为 登录 文件 古 纯 文本 信息 ， 所 以 如 琳 能 够 给 予 压 缩 的 话 ， 那 
么 备份 下 来 的 

登录 档 将 可 以 减少 到 数 十 MB 而 已 ， 这 样 可 大 大 的 减少 了 磁 副 空间 的 
浪费 啊 ! 如 果 你 是 


使 用 预 设 的 Apache 来 处 理 你 的 服务 历时 ， 那么 系统 已 经 作 了 一 个 
logrotate 给 你 使 


用 了 ， 如 果 你 是 使 用 Tarball 自己 安装 的 ， 那 么 ... 你 束 得 要 目 行 手动 建 
也 属 | 小 


档案 啦 ! 乌 哥 底下 是 以 CentOS 6.x 提供 的 档案 来 作 说 明 的 ; 
[root@www ~]# vim /etc/logrotate.d/httpd 

/var/log/httpd/*log { 

missingok 

notifempty 

compress <== 建 议 加 上 这 一 段 ， 让 你 的 备份 登录 档 可 以 被 压缩 
Sharedscripts 

delaycompress 

postrotate 

/sbin/service httpd reload > /devnull 2>/dev/null || true 
endscript 

} 


为 什么 这 里 很 重要 呢 ? 鸟 哥 的 服务 器 曾经 发 生 过 一 件 事情 ， 就 是 … 突 
然 WWW 效能 变 


很 差 ! 后 来 追踪 的 原因 竟然 是 ... /var/ 的 容量 被 用 完了 ! 而 耗 挤 这 个 
partition 的 ] 


元 凶 竟 然 是 Apache 的 登录 档 ! 当时 /var/ 仅 给 5GB ， 而 每 个 星期 的 登 
录 档 束 上 达 


1GB 以 上 ， 备 份 四 个 星期 的 结果 ， /var 想 不 爆 掉 也 很 难 人 所 以 啦 ， 建 
议 你 的 /var 要 


给 个 10GB 以 上 才 好 呐 ! 而 且 备 份 登录 档 也 要 压缩 才 好 呐 ! 


Tips: 


关于 syslog 与 logrotate 的 详细 说 明 请 参考 基础 篇 的 内 容 喔 ! 
成 

者 是 到 底下 的 连结 : 

http:/Ninux.vbird.org/linux basic/0570syslog.php 


此 外 ， 透 过 分 析 登 录 档 其 实 我 们 可 以 知道 我 们 的 网 站 到 瓜 是 哪 一 个 网 
页 最 热门 ? 也 且 也 


能 知道 客户 端 是 来 目 哪 里 呢 ! 目前 针对 Apache 有 很 多 的 分 析 软 件 ， 我 
们 确 下 仅 介 绍 两 


个 毅 见 的 分 析 软 件 给 大 家 哆 | 


20.4.3 登录 文件 分 析 软 件 : webalizer 
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事实 上 ，CentOS 6.x 默认 束 提 供 了 webalizer 这 个 分 析 软 件 了 ! 你 只 
将 这 套 软 


件 安 狠 上 来 束 是 了 。 如 末 你 不 古 使 用 CentOS 呢 ? 没关系 ， 官 方 网 站 
上 也 可 以 下 载 ， 


http:/www.mrunix.net/webalizer/ 
吕 设 定 难 度 : 简单 ， 极 适合 新 手 架 设 
0 2 大 致 上 ， 所 有 分 析 的 内 容 他 都 有 了 ! 虽然 图 表 比 较 没 有 那 


0 授权 模式 : GPL 


CentOS 6.x 提供 的 这 个 软件 配置 文件 在 /etc/webalizer.conf ， 而 且 他 设 
定 每 天 


WWW 的 登录 档 ， 不 过 这 个 软件 稚 认 会 将 输出 的 结 采 放置 
及 | 


/Var/www/usage ， 并 且 这 个 目 孙 仅 有 本 机 可 以 查阅 ， 乌 哥 并 不 喜欢 这 
样 的 设 定 。 我 们 


刚刚 不 是 有 建立 一 个 保护 目 隶 /var/www/html/protect 吗 ? 这 个 目录 的 
功能 来 啦 ! 乌 


可 预计 将 webalizer 的 输出 数据 放置 到 /var/www/html/protect/webalizer 
展 下 < 


所 以 知道 密码 的 都 能 够 查阅 呢 ! 整个 动作 是 这 样 的 : 

#1. 先 处 理 配置 文件 ， 变 更 指定 一 下 我 们 要 输出 的 目录 即 可 : 
[root@www ~]# vim /etc/webalizer.conf 

# 确定 一 下 底下 这 几 行 是 正确 的 ! 其 他 的 则 保留 默认 值 
LogFile /var/log/httpd/access_log <== 约 在 28 行 

OutputDir /Var/www/html/protect/webalizer <== 约 在 42 行 
Incremental yes <== 约 在 67 行 

# 2. 建立 该 保护 目录 的 数据 : 

[root@www ~]# cp -a /Var/www/usage/ /var/ www/html/protect/webalizer 
[root@www ~]# /etc/init.d/httpd restart 

#3. 开始 测试 执行 webalizer 的 分 析 工 作 

[root@www ~]# webalizer 


现在 请 你 在 浏 贤 絮 上 面 输入 : http://your.hostname/protect/webalizer ， 
看 看 输出 


的 结 末 是 如何 吧 ! 结 琳 应 该 会 如 下 所 示 : 


net.giang@hotmail.com 


人 Statistics for www.centos. Ybird - i ee Month - Mozilla Fiefox ox 
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Generated by Webalizer Version 2.21 


必 
图 20.4-2、webalizer 分 析 工 具 所 得 的 分 析 画 面 


nn 选 嗓 ， 点 选 后 会 告知 你 当月 的 各 项 
分 析 结 果 


很 不 错 吧 ! 
20.4.4 登录 文件 分 析 软 件 : awstats 


除了 webalizer 之 外 ， 我 们 其 实 还 可 以 透 过 awstats 这 个 厉害 到 不 行 的 
perl 的 


程序 来 进行 数据 分 析 ， 由 于 这 个 软件 是 以 perl 来 执行 的 ， 所 以 请 确定 
你 的 mod perl 


已 经 安装 日 CGI 的 执行 权限 已 经 局 动 了 ! 这 个 软件 的 特色 是 : 
0 是 方 网 站 :_http://awstats.sourceforge.net/ 
net.giang@hotmail.com 

官方 软件 :_http://awstats.sourceforge.ne/#DOWNLOAD 

0 设 定 难度 : 较 难 ， 需 要 有 点 技巧 ! 


0 软件 特色 : 中 文化 的 很 完整 ， 而 且 该 有 的 都 有 了 ， 相 当 炫 的 一 个 分 析 
利 姨 ! 


0 授权 模式 : GPL 


这 套 软 件 不 但 可 以 由 系统 的 cron 来 进行 分 析 ， 其 至 还 提供 浏览 器 直接 
以 CGI 的 


方式 来 实时 更 新 登录 档 呐 ! 真是 厉害 厉害 ! 乌 哥 个 人 是 比较 不 喜欢 使 
用 浏览 万 来 在 线 


更 新 分 析 的 结果 ， 因为 在 你 更 新 分 析 结 果 时 ， 怎 么 知道 系统 会 不 会 很 
忙碌 ? 如果 系统 


正在 从 碌 中 ， 这 套 软件 的 分 析 可 也 是 很 耗 旨 系 统 资源 的 呐 ! 所 以 建议 
直接 以 crontab 


的 方式 来 处 理 即 可 。 


目前 官方 网 站 不 但 提供 tarball 甚至 也 提供 RPM 来 给 使 用 者 下 载 了 ! 真 
古方 便 啊 ! 


但 是 你 还 是 要 注意 的 ， 这 个 软件 曾经 因为 安全 性 的 问题 导致 很 多 网 站 
的 挂 点 ， 所 以 建 


议 你 还 是 把 这 个 软件 的 输出 结果 放置 在 受 保 护 的 目 孙 中 喔 ! 底下 乌 哥 
以 元 0 信和 


RPM 版 本 来 说 明 ， 请 你 目 行 到 官方 网 站 下 载 吧 ! ( 注 : 档 名 为 


awstats-7.0-1.noarch.rpm ) 

假设 你 将 这 个 RPM 档案 放置 到 /root 当中 ， 那 么 目 己 rpm -ivh filename 
ES 

淡 他 吧 ! 不 要 跟 我 说 你 不 会 RPM 一 乌 哥 是 会 骨 倒 的 ~@_@I! 由 于 这 
个 RPM 档案 将 


awstats 的 数据 通通 放置 到 /usr/local/awstats 当中 去 了 ! 为 了 自己 网 页 
设 定 上 的 


方便 ， 建 议 你 是 可 以 这 样 做 的 : 

#1. 先 安装 后 再 将 awstats 提供 的 Apache 设 定数 据 给 他 复制 到 conf.d 下 
[root@www ~l# rpm -ivh awstats-7.0-1.noarch.rpm 

[root@www ~]# cp /usr/local/awstats/tools/httpd_contf \ 

> /etc/httpd/conf.d/awstats.conf 


[root@www ~]# vim /etc/httpd/conf.d/awstats.conf 


Alias /awstatsclasses "/usr/local/awstats/wwwroot/classes/" 
Alias /awstatscss "/usr/local/awstats/Wwwwroot/css/" 

Alias /awstatsicons "/usr/local/lawstats/wwwroot/icon/" 
Alias /awstats/ "/usr/local/awstats/wwwroot/cgi-bin/" 
<Directory "/usr/local/awstats/Wwwroot"> 

Options +ExecCGI 

AllowOverride AuthConfig <== 这 里 改 成 这 样 ， 因 为 要 你 护 ! 
Order allow,deny 

Allow from all 

</Directory> 

[root@www ~]# /etc/init.d/httpd restart 


awstats 还 真 的 挺 贴 心 的 ， 因 为 他 释 出 的 文件 当中 丈 有 关于 Apache 的 设 
定数 据 ， 我 们 


直接 将 他 放 到 conf.d/ 那个 目 永 下 并 且 更 名 后 ， 重 新 局 动 Apache 束 生 效 
了 上 真 方便 。 


再 来 则 是 要 针对 我 们 的 WWW 登录 档 来 设 定 啦 ! 配置 文件 其 实 是 在 


/etc/awstats 目录 


下 ， 在 该 日 隶 下 有 个 范例 文件 为 awstats.model.conf， 其 实 这 个 配置 文 
件 『 档 名 」 格 


芭 鸭 : 


net.giang@hotmail.com 


D awstats. 主 机 各 .conf 


因为 乌 哥 这 部 主机 名 为 www.centos.vbird， 所 以 假设 主机 名 为 www， 
所 以 档 名 就 


应 该 是 awstats.www.conf 哎 ! 请 你 将 他 复制 一 个 新 档 ， 然 后 这 样 做 : 


[root@www ~]# cd /etc/awstats 

[root@www awstats]# cp awstats.model.conf awstats.www.conf 
[root@www awstats]# vim awstats.www.contf 

# 找 到 压 下 这 几 行 ， 并且 修改 一 下 内 容 啊 : 
LogFile="/var/log/httpd/access_log" <== 51 行 : 确定 登录 文件 所 在 的 位 
置 

LogType=W <== 63 行 : 针对 WWW 的 登录 档 分 

析 

LogFormat=1 <==122 行 : Apache 的 登录 档 格 式 
SiteDomain="www.centos.vbird" <==153 行 : 主机 的 hostname 
HostAliases="localhost 127.0.0.1 REGEX[centos\.vbird$]" 


DirCgi="/awstats" <==212 行 : 能 够 执行 awstats 的 


目录 
DirIcons="/awstatsicons" <==222 行 : awstats 一 些小 图 标的 
目录 


AllowToUpdateStatsFromBrowser=0 <==239 行 : 不 要 利用 浏览 絮 来 更 


新 | 


Lang="tw" <==905 行 : 重要 ! 这 是 语系 ! 
接着 开始 测试 一 下 是 否 可 以 产生 正确 的 分 析 资 料 出 来 ? 


[root@www awstats]# cd /usr/local/lawstats/wwwroot/cgi-bin 
[root@www cgi-bin]# perl awstats.pl -config=www -update \ 

> -output > index.html 

# 那个 -config 后 面 接 的 就 是 awstats.www.conf 的 意思 ! 会 产生 
index.html 

[root@www cgi-binl# 1s -] 

awstats082011.www.txt <== 刚 刚才 建立 的 重要 数据 文件 ! 
awstats.pl <== 就 是 刚刚 我 们 下 达 的 执行 档 ! 

index.html <== 重 要 输出 首页 档案 


接 下 来 让 我 们 赶紧 来 建立 保护 目 孙 的 .htaccess 档案 吧 ! 请 注意 ， 


这 里 假设 你 已 

经 有 密码 文件 了 ， 所 以 直接 建立 档案 即 可 啊 ! 
[root@www ~]# cd /usr/local/awstats/wwwroot 
[root@www wwwroot]# vi .htaccess 
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岛 


于 


本 


入 计 和 独 站 www_centos.vbird (2011-08) - main - Mozilla Firefo 支 


档案 斩 组 疮 四 梳 视 中 历史 他 书签 轧 工具 凸 诸 明 四 
| 名 | 让 | htp2i92.168.1.100lawstaty 


索 计 多 站 : WwwWw,centos.vbird 
是 近 更 新 : 2011 年 8 月 08 日 14:51 
报 直 日 期 : | [2011 | OK 下 ~、 


按 傅 观 时 间 : 2 月 星期 并 每 小 时 
按 参 机 者 : 3 月 主机 “全 部 列 出 “是 近 参 锡 日 期 ”无法 反 解 潜 的 IP 位 址 ” 搜 寺 引擎 册 站 
4 月 星 ”是 近 参 钢 日 期 
泗 噬 器 统计 : 5 月 栓 案 烦 81 Downloads 全 部 列 出 ， 存 职 次数。 全 部 列 出 入 站 感 
统 ” 版本、 胡 法 得 知 。 注 双 器、 版 本 豚 法 得 知 
搜寻 引擎 塌 介 “由 那些 其 他 网 站 萌 介 ”搜寻 ”用 以 搜寻 的 及 刍 字句 用 


斧 考 次 山 : 6 月 


其 他 : 找 不 到 的 网页 


报表 日 期 月 份 8 月 20| 11 月 
首次 登 观 日 期 ”2011 年 8 月 12 月 
是 近 登 对 日 期 ”2011 年 8 月 | - 年 人 


3 3 115 118 5.30 MB 
普通 流量 * (1 参 周 次数/ 优 钢 (38,33 网 页 娄 / 优 (39,33 贴 坚 败 / 湖 (1807,84 KB/ 营 
者 ) 铀 次 数 ) 钢 次 数 ) 富 次 就) 
看 不 到 "的 流量 * 10 12 17.45 KB -| 
| .: 


AuthName "Protect awstats data" 
Authtype Basic 
AuthUserFile /var/www/apache.passwd 


require valid-user 


之 后 ， 只 要 你 输入 Thttp:/yourIP/awstats/J ， 职 能 够 看 到 输出 的 图 表 
了 ! 图 表 有 


点 像 这 样 : 
图 20.4-3、awstats 分 析 工 具 所 得 的 分 析 画 面 


事实 上 ， 数 据 非 常 的 多 ， 你 可 以 自行 查阅 输出 的 结果 。 在 上 图 当中 的 
箭头 处 ， 你 还 


可 以 目 己 克 择 曾 有 的 月 份 数 据 来 进行 显示 ! 最 后 ， 将 分 析 的 动作 规定 
在 每 天 三 点 的 时 


候 跑 ， 你 可 以 这 样 做 : 

[root@www ~]# vim /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 

cd /usr/local/lawstats/wwwroot/cgi-bin 

perl awstats.pl -config=www -update -output > index.html 

[root@www ~]# chmod 755 /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 
[root@www ~]# vim /etc/crontab 


0 3 *** root /usr/local/awstats/wwwroot/cgi-bin/awstats.sh 
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0 
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这 样 你 殉 知 道 你 的 主机 到 底 有 多 受 欢 迎 哆 ! 和 人! 另外 ， 再 次 千 万 拜 
邱 1 这 个 软件 所 三 


的 目录 务必 要 制作 密码 保护 ! 不 要 随意 释放 出 来 ! 甚至 上 面 提供 的 一 
些 目 永 的 链接 你 


都 可 以 根据 自己 的 主机 与 喜好 来 重新 修改 ， 会 比较 安全 的 啦 ! 
20.5 建立 联机 加 密 网 站 (https) 及 防 砍 站 脚本 


从 本 章 一 开始 的 20.1 就 谈 过 http 这 个 通讯 协议 是 明码 传送 数据 ， 而 那 
个 https 


才 是 加 密 传 输 的 ! 那加 密 的 方法 是 透 过 SSL 啊 ， 这 个 SSL 残 是 以 
openssl 软件 来 提 


供 的 一 个 加 密 画 式 库 。 更 多 与 https 有 关 的 信息 ， 请 参考 20.1.4 吧 ! 
20.5.1 SSL 所 需 软 件 与 任 证 档案 及 默认 的 https 


要 达成 让 apache 支持 https 协议 的 话 ， 你 必须 要 有 mod_ssl 这 个 软件 才 


行 ! 请 


先 自 行使 用 yum 去 装 好 这 个 软件 吧 ! 并 且 重 新 启动 htpd 喔 ! 同时 ， 
我 们 的 CentOS 


6.x 也 已 经 预 设 提供 了 SSL 机 制 所 需要 的 私 钥 与 您 证 档案 路 ! 相关 软件 
提供 的 档案 如 


下 : 


D /Metchttpd/conf.d/ssl.conf: mode_ssl 提供 的 Apache 配置 文件 ; 

D /etc/pkimls/private/localhost.key: 系统 私 钥 文件 ， 可 以 用 来 制作 凭 
的 ! 

中 /etc/pki/tls/certs/localhost.crt 就 是 加 密 过 的 凭证 档 ! (signed 


certificate) 


既然 系统 都 已 经 大 有 我们 搞定 了 ， 那 么 束 让 我 们 直接 来 浏览 一 下 ， 看 看 
系统 默认 提供 


的 https 是 长 的 什么 模样 吧 ! 打开 你 的 浏 宽 姻 ， 输 入 https:// 你 的 全 来 
联机 看 看 : 


net.giang@hotmail.com 


不 受 篇 任 的 过 入 - Mozilla Firefox 
档案 四 编辑 四 枚 视 人 历史 也 书签 号 工具 人 D 就 明志 ) 


EE 
过 个 运 委 未 受信 任 
您 要 求 Firefox 和 192.168.1.100 建立 实 主 过 和 儿 ,但 是 我 们 短 法 秦 轩 目 前 的 违 斤 是 安全 的 。 


一 般 来 恺 ， 当 元 建立 安全 连 镍 时， 和 钢 站 会 提供 身分 渡 别 以 证明 顽 连 到 了 正确 的 地 方 * 但 此 
简 站 的 身分 扰 法 被 胞 证 。 


我 该 特许 办 ? 
若 您 平常 不 合 过 到 过 个 阳 题 ， 此 媒 识 讯息 代表 有 人 正 试 著 假 置 该 粒 站 ， 灼 不 该 德 法 浏 噬 。 


带 我 辟 了 并 这 得 ! | 


技术 秋季 pp ! 


7 我 了 解 此 安全 属 除 


如 果 您 知道 宫 何 错误 ， 您 可 以 谴 Fietox 改 信任 此 身分 汶 别 资讯 ”即便 您 信任 此 镁 站 ' 此 
籍 剖 依然 代表 有 人 正 武 车 很 则 误 拉 站 。 


除非 您 有 理由 确定 此 疯 站 身分 洲 别 次 讯 没 有 了 问题， 否则 切 匆 新 增 例 外 撞 站 。 
新 增 例外 网 站 … | 人 7 


图 20.5-1、 在 firefox 底下 看 到 的 SSL 安全 问题 图 示 


就 如 同 本 章 20.1.4 谈 到 的 ， 因 为 我 们 这 个 Apache 网 站 并 没有 将 此 和 凭证 
向 CA 注 


册 ， 因 此 就 会 出 现 上 述 的 讯 遇 了 ! 这 就 类 似 ssh 联机 时 ， 系 统 需 要 你 
输入 『 yes J 


是 一 样 的 啦 ! 要 接受 凭证 后 才能 够 进行 加 密 的 功能 。 所 以 ， 请 点 选 上 
图 中 的 箭头 1， 此 


时 束 会 延伸 出 第 头 2 的 位 置 ， 按 下 去 吧 ! 然后 就 会 出 现 如 下 所 示 : 
net.qiang@Ohotmail.com 
新 增 安 全 例外 x 


您 正 试 图 检 荆 Firetox 要 如 何 识别 此 宰 站 的 识 定 。 
| ， 萝 广 意 ， 合 法 的 银行 、 商 店 或 其 他 公 轩 狂 站 不 合 要 求 您 运 诬 项 ! 


此 秽 站 营 试 用 无效 的 前 讯 识别 自己 * 检视 C3)… 
敌 避 的 拉 站 


活 座 届 於 不 同 的 阐 站 : 该 桐 站 的 身分 可 能 已 被 次 用 
未 知 身分 


天 座 未 受信 任 ， 因 高 尚未 被 认得 的 活 设 机构 验 讼 * 3 


JY 永久 储存 此 例外 巴 


_ 确 亡 安 全 例外 (C) | _ 确 亡 安 全 例外 (C) | 


图 20.5-2、 在 firefox 底下 接受 一 把 私有 的 凭证 所 需要 的 流程 


如 琳 你 确定 这 个 网 站 是 你 目 己 的 可 信任 网 站 ， 那 束 按 下 1 及 2 的 箭头 
处 ! 如 生还 


想 要 看 一 下 这 个 网 站 所 提供 的 相关 宽 证 内 容 ， 殉 按 下 3 篆 头 的 地 方 : 


net.giang@hotmail.com 


渤 填 检 禹 器 :"www.centos.vbird" lL x| 
三 培 久 | 细节 四 ) | 
和 珀 法 驳 心 此 委 恤 ， 因 癌 汪 车 全 行者 未 被 启 太 * 


签 登 输 
一 般 名 稍 (CN) www.centos.vbird 


组 狼 0) SomeOrganization 

组 继 单 位 ‘OU) SomeOrganizationalUnit 

序号 04:62 

签 登 者 1 


一 般 名 入 (CNM) www.centos.wbird 
组 积 iO) SomeOrganization 
组 多 单位 人 DT) SomeOrganizationalUnit 


有 效 
签发 日 201188 SR 

到 期 日 2012/87 

指 近 


SH&1 指 签 22:2E:03:07 .21:F6:0A:46:BC:ES:39:E8:1E:2D:4E:6F:20:30:3F:9D 
MD5 指 科 QT:FA:1D:15:AB:F3:44:F3:01:E8:7F:ES:80:87:31:04 


名 

图 20.5-3、 在 firefox 底下 观察 凭证 的 详细 内 容 

由 于 这 个 凭证 档案 的 建 置 是 在 第 一 次 启动 Linux 时 束 安 装 好 了 和 攒 证 
档 ， 而 在 


CentOS 6.x 厥 下 ， 预 设 的 任 证 有 效 期 限 为 1 年 ， 所 以 你 就 会 看 到 上 图 
中 箭头 2 所 指 


的 ， 签 发 日 到 到 期 日 共有 一 年 啊 ! 当 你 按 下 天 闭 后 ， 束 能 够 看 到 实际 
的 https:// 提供 


的 网 站 内 容 虽 ! 这 就 是 预 设 的 SSL 网 站 啦 ! 你 的 重要 信息 可 以 放 在 这 
里 一 让 数据 在 网 


络 上 传输 更 佳 的 安全 ! 
20.5.2 拥有 目 制 凭证 的 https 
建立 凭证 档 


预 设 的 凭证 虽然 已 经 可 以 让 你 顺利 的 使 用 https 了 ， 不 过 ， 和 凭证 的 有 效 
日 仅 有 1 


年 而 已 一 实在 讨厌 ~ 所 以 ， 我 们 还 是 得 要 上 自制 插 证 才 行 一 这 个 宽 证 的 
制作 仅 是 私有 


WWW 网 站 的 用 途 ， 并 没有 要 拿 去 CA 注册 喔 ! 那么 自制 凭证 需要 什 
么 步骤 呢 ? 基本 上 


需要 的 流程 是 : 
1. 先 建立 一 把 private key 预备 提供 给 SSL 凭证 签 章 要 求 所 用 ; 
2. 最 后 建立 SSL 凭证 (test certificates)。 


那么 建立 凭证 有 没有 很 困难 呢 ? 没有 啦 ! 因为 CentOS 6.x 已 经 帮 有 我 们 
写 好 了 


Makefile 了 1! 你 先 到 /etc/pki/tls/certs 这 个 目录 下 ， 然 后 直接 输入 make 
这 个 指 


net.giang@hotmail.com 


令 ， 就 能 够 看 到 所 有 可 行 的 目标 动作 ! 我 们 就 可 以 很 快速 的 建 置 好 和 赁 
证 喔 ! 不 过 ， 因 


为 预 设 的 私 钥 文件 需要 加 上 密码 才能 够 进行 建立 ， 所 以 我 们 还 得 要 额 
外 进行 一 下 动作 束 


征 了 。 好 ! 现在 假设 我 们 要 建立 的 是 名 为 vbird 的 凭证 ! 那么 确 下 流程 
中 ， 所 有 的 天 


键 词 丈 是 vbird! 人 简单 流程 如 下 所 示 : 

#1. 先 到 /etc/pki/tls/certs 去 建立 一 把 给 Apache 使 用 的 私 钥 档案 : 
[root@www ~]# cd /etc/pki/tls/certs 

[root@www certs]# make vbird.key 

umask 77 ; /usr/bin/openssl] genrsa -aes128 2048 > vbird.key <== 其 实 
是 这 个 指令 

Generating RSA private key, 2048 bit long modulus 


e js 65537 (0x10001) 


Enter pass phrase: <== 这 里 输入 这 把 私 钥 的 密码 ， 需 要 多 于 四 个 字符 ! 


Verifying - Enter pass phrase: <== 骨 一 次 ! 

# 2. 将 刚刚 建立 的 档案 中 ， 里 面 的 密码 取消 掉 ! 不 要 有 密码 存在 啦 ! 
[root@Owww certs|# mv vbird.key vbird.key.raw 

[root@Owww certs|# openssl rsa -in vbird. key.raw -out vbird.key 

Enter pass phrase for vbird.key.raw: <== 输 入 刚刚 的 密码 啦 ! 

writing RSA key 


[root@www certs]# rm -f vbird.key.raw <== 旧 的 密 钥 档 移 除 


[root@www certs]# chmod 400 vbird.key <== 权 限 一 定 是 400 才 行 ! 
# 3. 建 置 所 需要 的 最 终 任 证 档 ! 

[root@www certs|# make vbird.crt SERIAL=2011080801 

umask 77 ; /usr/bin/openssl req -utf8 -new -key vbird.key -x509 -days 
365 

-out vbird.crt -set_serial 2011080801 <== 可 以 加 入 日 期 序号 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

Country Name (2 letter code) [XX]:TW 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default Cityj:Tainan 

Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, Section) []:DIC 

Common Name (eg, your name or your server's hostname) 
[J:www.centos.vbird 

Email Address []:vbird@www.centos.vbird 

[root@www certs]# ll vbird* 


net.giang@hotmail.com 


0 
a . 1 root root 1419 2011-08-08 15:24 vbird.crt <== 最 终 凭证 
档 ! 
ee . 1 root root 1679 2011-08-08 15:22 vbird.key <== 系 统 私 钥 
文件 


这 样 束 建立 好 凭证 档 了 ! 接 下 来 就 是 得 要 去 处 理 ssl.conf 这 个 设 定 内 容 
中 9 


把 凭证 依旧 只 能 使 用 1 年 ! 如 果 你 想 要 建立 十 年 的 任 证 ， 那 就 得 要 修 
改 一 下 Makefile 


里 面 的 内 容 ， 将 365 改 成 3650 即 可 ! 

Tips: 

如 果 你 曾经 多 次 重复 进行 上 述 的 建立 凭证 动作 ， 会 发 现 到 同一 个 赁 
证 内 容 若 制作 多 次 ， 则 最 终 客户 端 浏览 器 会 出 现 一 些 错 误 讯息 ， 导 
致 无 法 联机 ! 因此 ， 建 议 多 加 一 个 序号 (SERIAL) 的 参数 ， 可 以 修 
订 这 个 错误 喔 ! 

0 

修改 ssl.conf 的 内 容 ， 使 用 自制 凭证 


修改 ssl.conf 的 内 容 也 十 很 简单 ! 只 要 修改 两 个 地 方 ， 亦 即 是 档案 档 名 
的 地 方 即 


可 ! 

[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 

SSLCertificateFile /etc/pki/tls/certs/vbird.crt <== 约 在 105 行 
SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key <== 约 在 112 行 


[root@www ~]# /etc/init.d/httpd restart 


然后 再 以 浏览 器 去 浏览 https:// 的 网 址 ， 就 能 够 查 疯 到 刚刚 建立 的 凭证 
数据 。 不 过 ， 


因为 我 们 之 前 已 经 有 浏 蜗 过 预 设 的 凭证， 所 以 网 页 以 及 物证 剖 有 被 快 
取 过 ! 因此 ， 你 


可 能 得 需要 到 浏览 器 的 隐私 保护 的 地 方 ， 将 记录 的 凭证 删除 ， 并 且 将 
网 页 快 取 删 除 ， 这 


样 才能 够 看 到 最 终 如 下 的 正确 凭证 数据 喔 ! 
net.giang@hotmail.com 


和 要 心术 入 器 :"www.centos.vbird" x| 
于 说 多 | 细节 四 ) | 
和 舞 法 验 属 此 恶 十 ， 因 癌 王 填 登 行者 未 被 售 寿 * 


签 登 给 
一 般 名 簿 {CNY www.centos.wbird 


组 名 D) KSU 
组 猴 单 位 OU) DIC ea 
序 路 TTDE:L8:61 


签 登 者 

一 般 名 称 (CN) www.centos.vbird 
组 积 (O) KSU 

组 狠 单 位 OU) DIC 

有 效 

签 八 日 2011 意 避 

到 | 期 日 2012i:37 


SHA1 指 和 被 35:96:38:86:69:D4:2E:DC:B6:D8:13:AE:CF:05:11:50:6E:BO0:32:B1 
MD5 指 寝 2F:01:C1:49:8C:78:5B:08:F8:F?7:3D:A8:E7:6A:09:4B 


必 

图 20.5-4、 检 查 任 证 的 详细 内 容 ! 

20.5.3 将 加 密 首页 与 非 加 密 首 页 分 离 

或 许 你 已 经 发 现 一 个 无 但 头 的 地 方 ， 就 是 我 的 http:/ 以 及 https:// 首页 


辐 ._ 
全 


模 一 样 的 嘛 ! 那么 我 的 读者 干 嘛 没事 找事 干 ， 肯定 不 会 使 用 https 的 
嘛 ! 那 怎 办 ? 起 


么 强制 使 用 者 使 用 https:// 来 查阅 我 的 重要 数据 ”很 商 单 啊 ! 透 过 虚拟 
主机 束 好 了 


啊 ! 因为 SSL 模块 也 是 默认 提供 了 这 个 功能 的 嘛 ! 修改 会 不 会 很 麻烦 
呢 ? 不 会 啦 ! 你 


只 要 将 http 及 https 的 首页 分 离 即 可 ! 我 们 这 么 假设 好 了 : 
0 一 般 明 码 传输 的 网 页 首页 不 要 变更 
D https:/ 的 首页 放置 到 /var/www/https/ 目录 下 。 
所 以 我 们 得 先 要 设 定 /Var/www/https 目录 才 行 ! 然后 ， 只 要 修改 


ssl.conf 档案 
内 容 即 可 ! 整个 过 程 可 以 这 样 处 理 : 
#1. 处 理 目录 与 默认 的 首页 index.html 档案 : 


[root@www ~]# mkdir /var/www/https 
[root@www ~1# echo "This is https' home" > /var/www/https/index.html 
# 2. 开始 处 理 ssl.conf 的 内 容 嗓 ! 


[root@www ~]# vim /etc/httpd/conf.d/ssl.conf 


Listen 443 <== 预 设 的 监听 埋 口 ! 不 建议 修改 ! 

<VirtualHost _default_:443> <== 就 是 虚拟 主机 的 设 定 史 
DocumentRoot "/var/www/https" <== 约 84 行 ， 拿 挥 批注 改 挥 目录 名 称 
net.giang@hotmail.com 

0 

ServerName *:443 <== 拿 掉 批 注 ， 并 将 主机 名 设 定 为 * 

SSLEngine on <== 有 文 援 SSL 的 意思 ! 


SSLCipherSuite 
ALL:!IADH:!IEXPORT:!ISSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW 


SSLCertificateFile /etc/pki/tls/certs/vbird.crt 
SSLCertificateKeyFile /etc/pki/tls/certs/vbird.key 
</Virtual Host> 

[root@www ~]# /etc/init.d/httpd restart 


大 部 分 都 使 用 默认 值 ， 就 是 DocumentRoot 以 及 ServerName 需要 留意 
就 是 了 。 如 此 一 


来 ， 我 们 就 将 https, http 两 个 完整 的 分 开 ， 你 的 重要 数据 需要 加 密 的 ， 
终于 有 个 可 


靠 的 地 方 摆 放 虽 ! 入 和 
20.5.4 防 砍 站 软件 


几 个 比较 知名 的 网 站 管理 员 大 概 都 有 这 样 的 困扰 ， 那 就 是 网 站 常 被 砍 
站 软件 所 强力 


下 载 ， 结 果 造 成 主机 的 CPU loading 过 重 ， 最 后 竟然 会 导致 死 掉 ~ 唤 ! 
真是 的 一 人 怕 


出 名 猪 旧 肥 呐 ! 先 来 解释 一 下 什么 是 砍 站 吧 ! 


所 谓 的 『 砍 站 4 ， 束 是 以 类 似 多 点 联机 下 载 的 持续 性 讯 轧 传递 软件 进 
行 网 站 数据 的 


下 载 ， 而 且 ， 一 启用 该 软件 ， 该 软件 束 将 『 整 个 网 站 J 的 内 容 都 给 他 
download 下 来 ， 


很 厉害 吧 ! 没 错 ! 是 很 厉害， 但 是 却 也 害 死人 了 ~ 怎么 说 呢 ? 


因为 这 种 软件 常常 会 为 了 加 快 download 的 速度 ， 所 以 采用 多 点 联机 的 
方式 ， 也 束 


征 会 持续 不 断 的 网 Server 发 出 要 求 封包 ， 而 由 于 这 些 封包 并 不 见得 能 
够 成 功 的 让 


Server 把 数据 传导 给 Client 端 ， 常 常会 无 法 投递 就 是 啦 ! 这 样 的 结果 就 
日 cP 
是 ... 造 成 


Server 要 一 直 不 断 的 啊 应 ， 义 无 法 正确 的 啊 应 出 去 ， 此外， 要 求 太 过 
频繁 ， 结 果 主 机 


应 接 不 暇 ， 最 后 .…. 忠 当 机 了 ... 真 的 是 林 老 师 为 人 ~ 


马 哥 的 乌 站 主机 上 古 早 以 前 ， 就 古 因为 这 样 的 原因 ， 导 致 服务 闸 单 断 断 
续 续 的 ， 并 且 ， 


由 于 CPU loading 太 高 ， 结 果 让 正常 联机 进来 看 数据 的 网 友 没 有 足够 的 
质 源 ， 因 此 网 


页 开局 的 速度 就 变 的 很 慢 一 唉 ~ 这 些 砍 站 的 人 ， 也 太 不 道德 啦 ! 


由 于 这 种 砍 站 软件 真 的 很 麻烦 ， 一 不 注意 马上 束 又 会 被 砍 站 而 当 机 ， 
三 天 两 头 束 要 


重新 局 动 一 次 ， 完 全 让 Linux 的 稳定 性 无 法 发 挥 ! 真是 气 死 了 一 后 
来 ， 马 哥 聘 目 行 写 


了 一 个 scripts 来 挡 这 样 的 IP! 我 的 作法 是 这 样 的 ; 


1. 由 于 砍 站 软件 会 多 点 连续 下 载 ， 因 此 ， 同 一 个 卫 在 同一 个 时 间 内 ， 
会 有 相 


当 多 的 联机 发 生 ; 


net.giang@hotmail.com 


0 


2. 由 于 他 是 重复 不 断 的 要 求 联机 ， 因 此 刚刚 建立 的 联机 在 达成 下 载 的 


的 后 ， 


会 立刻 死 掉 ， 而 又 多 生出 其 他 的 联机 出 来 ， 因 此 ， 这 个 时 候 他 的 联机 
情况 丈 变 


的 相当 的 不 正和 了 ! 


3. 由 于 茶 些 较 旧 的 砍 站 软件 并 不 会 【其 锯 4 主机， 所 以 ， 会 在 主机 的 
登录 文件 


里 面 记录 住 Teleport 的 标记 ! 
4. 既然 如 此 的 话 ， 那 么 我 就 让 我 的 主机 每 分 钟 去 检查 两 个 东西 (1) 先 检 


查 log 
file ， 如 果 有 发 现 到 相关 的 Teleport 字 词 ， 就 将 该 IP 抵挡 掉 ; (2) 使 用 


netstat 来 检查 同一 个 IP 的 同时 联机 ， 如 果 该 联机 超过 一 个 值 (例如 同时 
有 12 


个 联机 ) 的 话 ， 那 么 王将 该 IP 抵挡 挥 ! 


5. 此 外 ， 由 于 上 面 的 方案 可 能 会 将 Proxy 的 Client 端 也 同时 抵挡 掉 ， 真 
是 


可 怜 啊 ! 这 个 时 候 ， 这 支 程 序 束 会 主动 的 将 (1) 的 情况 的 主机 抵挡 3 
天 ， 至 于 


的 情况 由 抵挡 2 小 时 ， 过 了 该 折 朱 的 时 限 后 ， 该 思 即 可 又 连 上 我 们 
9 主机 


可 :| 


0 这 样 的 一 程序 需要 与 iptables 相互 配合 ， 所 以 ， 请 
查阅 一 


及 | 这 文 程序 你 可 以 
的 网 址 


在 底 


详细 的 安装 步骤 乌 哥 已 经 以 中 文 写 在 该 档案 里 面 了 ， 所 以 请 先 查 看 一 
下 该 档案 的 前 


面 说 明 部 分 吧 ! 此 外 ， Study Area 的 netman 大 哥 也 已 经 开发 了 一 套 很 
棱 的 防 砍 站 的 


程序 了 ! 在 防 墙 砍 站 的 原理 上 面 是 完全 相同 的 ， 不 过 写法 可 能 不 是 很 
雷同 吏 是 了 ! 如 


果 有 需要 的 话 ， 也 可 以 前 往 Study-Area 搜寻 一 下 中 |! 


20.6 重点 回顾 


0D Www 的 传输 协议 使 用 HTTP (Hyper Text Transport Protocol) ， 最 早 
是 由 


欧洲 核 物理 实验 室 的 伯 纳 斯 - 李 所 发 展 的 ; 
D0 WWW 在 server/dlient 病 主 要 传递 的 讯 奶 数据 以 HTML (Hyper Text 
Markup Language) 语法 为 主 ; 


http://www.w3c.org 为 制订 与 发 布 WWW 标准 语法 的 组 织 ， 你 撰写 网 
页 最 好 


依据 该 站 之 标准 为 宜 ; 
0 Apache 十 达成 WWW 服务 右 的 一 项 软件 ， 至 于 客 刻 问 的 浏 贤 则 使 用 


中 入 蝇 量 


浏 饥 如， 

目前 可 使 用 firefox 

0 浏览 器 可 达成 的 主机 链接 不 上 上 http， 可 在 网 址 列 输入 对 应 的 『 协 议 :// 
主机 


[:port]// 资 源 1 即 可 取得 不 同 的 数据 ; 


DD 若 要 WWW 服务 器 可 以 达成 与 用 户 信息 互动 ， 尚 须要 了 网 页 程序 语言 
(如 PHP, 


perl 等 ) 以 及 数据 库 软 件 (如 MySQL, portgresql 等 ); 
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0 因为 http 使 用 的 是 明码 传送 ， 目 前 WWW 可 利用 SSL 等 机 制 来 进行 
数据 加 


密 的 传输 ; 
0 Apache 的 配置 文件 其 实 只 有 httpd.conf 而 已 ， 其 他 的 配置 文件 都 是 被 
Include 进来 的 ; 


0 Apache 的 首页 目录 以 DocumentRoot 决定 ， 首 页 档案 则 以 
DirectoryIndex 


决定 ; 
DO Apache 可 以 透 过 虚拟 主机 的 设 定 以 指定 不 同 主机 名 到 不 同 的 
DocumentRoot 下 ; 


0 Apache 是 多 线程 的 软件 ， 可 以 启动 多 个 程序 来 负责 WWW。 主 要 的 
模块 有 


prefork 及 worker， 至 于 最 大 可 联机 的 数量 则 以 MaxClients 来 决定 。 


0 若 要 正确 的 让 浏览 器 显示 网 页 的 编码 格式 ， 最 好 在 网 页 上 宣告 语系 ， 
并 将 


Apache 的 配置 文件 httpd.conf 内 的 AddDefaultCharset 设 定 值 取消 ; 
在 Apache 可 浏 唤 的 目录 权限 设 定 上 (Options 参数 )， 最 好 将 Indexes 


掉 ; 

D0 透 过 AllowOverride 与 .htaccess 可 让 用 户 在 上 自己 管理 的 目录 下 制订 自 
己 的 风格 ; 

0 Apache 本 身 提供 一 个 apachectl 的 script 让 使 用 者 得 以 快速 管理 其 
apache 的 服务 ; 


0 Apache 分 析 的 数据 如 果 比 较 重要 时 ， 务 必 以 SSL 或 者 是 保护 目录 来 
{mt 


20.7 本 章 习 题 


0 请 问 LAMP 这 个 服务 器 代表 什么 意思 ? 


这 个 名 词 代 表 了 Linux + Apache + MySQL + PHP 这 个 WWW 服务 器 的 
组 成 ! 


0D Apache 的 配置 文件 档 名 一 般 为 何 ? 
Apache 的 配置 文件 档 名 为 httpd.conf ， 不 过 ， 由 于 httpd.conf 内 容 参 


数 可 以 使 用 『 include "额外 配置 文件 名 "J ， 所 以 也 可 能 具有 其 他 的 额 
外 配置 


文件 喔 ! 
DD 在 Apache 的 配置 文件 当中 ， 哪 一 个 参数 是 用 来 设 定 『 主 网 页 J 的 ? 


设 定 主 网 页 的 参数 为 : DocumentRoot 喔 ! 后 面 接 的 是 主 网 页 放置 的 
1 目录 4 ! 


0 哪 一 个 指令 用 来 重新 启动 与 关闭 Apache ? (请 以 Apache 本 身 提供 的 
功能 


来 说 明 ) 
其 实 不 论 是 RPM 还 是 Tarball 都 是 使 用 apachectl 这 个 档案 来 启动 


apache 的 ， 不 过 RPM 已 经 将 该 档案 整合 到 /etc/init.d/httpd 里 面 去 而 已 
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0 当 我 使 用 ps -aux 的 时 候 ， 发 现 好 多 的 httpd.… 的 程序 ， 这 是 正常 的 
吗 ? 


最 多 可 以 有 几 个 程序 是 在 那个 档案 的 那个 参数 所 设 定 的 ? 
由 于 Apache 预 设 为 多 线程 ， 所 以 局 动 多 个 processes 是 正常 的 。 至 于 


局 


动 儿 个 process 则 由 很 多 设 定 所 处 理 ， 包括 MinSpareServers， 
MaxSpareServers, MaxClients 等 等 。 

0 义 ， 呈 上 题 ， 这 些 程序 (process) 的 owner 与 group 是 谁 ? 该 察看 那个 
配置 文件 的 那个 参数 ? 

同样 察看 httpd.conf 里 面 的 User 与 Group 这 两 个 设 定 值 ! 

D 如 果 今 天 我 以 http:/yourip 结果 却 发 现 浏览 器 出 现 类 似 FTP 的 画面 
会 列 出 该 目录 下 的 所 有 档案 )， 这 是 什么 原因 造成 的 ? 该 如 何 避 免 ? 

由 于 在 httpd.conf 里 面 ， 针 对 该 目录 的 设 定 参 数 『 Options 」 当 


设 定 了 Indexes 这 个 设 定 值 ， 导 致 当 找 不 到 主页 时 ( 通 弟 是 index.htm])， 
束 会 


将 该 目 孙 下 的 所 有 档案 秀 出 来 ! 解决 的 方法 就 是 拿 掉 Options 里 面 的 


Indexes 

设 定 值 即 可 ! 

0 在 Apache 里 面 .htaccess 这 个 档案 的 功能 为 何 ? 

可 以 用 来 取代 httpd.conf 里 面 的 设 定 参数 ! 创造 属于 使 用 者 自己 的 
Apache 风格 ! 


0 奉 你 之 前 浏 宽 过 网 页 ， 但 显示 的 数据 并 非 正确 的 中 文 。 后 来 按照 上 文 
的 说 明 


修改 了 中 文 的 设 定 ， 却 还 是 无 法 看 到 中 文 。 请 问 可 能 的 原因 为 何 ? 
由 于 你 曾经 浏览 过 该 网 站 的 网 页 ， 所 以 该 网 页 会 税 你 的 浏览 器 所 暂 存 
(cache)， 因 此 你 应 该 可 以 这 样 做 : 


o 在 同一 页 面 下 按 下 『 reload 4 来 重 载 ; 

o 清除 掉 所 有 的 浏览 器 快 取 ; 

o 将 原本 的 网 页 在 服务 器 端 改 名 ， 并 让 浏览 器 浏览 新 的 网 页 名 称 。 

0 PHP 的 程序 代码 一 定 要 使 用 <?php 程序 代码 ?> 吗 ? 有 没有 替代 方 


案 ? 


预 设 的 情况 下 ， 你 应 该 要 输入 <?php ?> 才能 写 入 PHP 的 程序 。 不 过 早 
其 


汪 


的 程序 或 许 都 以 <? ?> 来 撰写 的 。 如 果 想 要 让 该 种 方式 生效 的 话 ， 你 
可 以 进入 


/etc/php.ini 档案 中 ， 修 改 『short_open_tag = OnJ 这 个 设 定 项 目 即 可 。 
20.8 参考 数据 与 延伸 阅读 
0 葛 林 . 称 迪 着 ， 杜 默 译 ，『Linux 传奇 上 4， 时 报 出 版 ; 
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0 WWW 发 展 着 蒂 姆 ' 伯 纳 斯 一 李 的 生平 商 介 : 


http:/zh.wikipedia.org/wiki/ 蒂 姆 : 
D WwW3C 标准 仙 上 站: http:Wwwww3c.org 
DO Apache 官方 网 站 : http://www.apache.org/ 

0 Mozilla 官方 网 站 : ”http:/www.mozilla.org/ 

0 PHP 官方 网 站 : http:/www.php.net/ 


DD MySQL 中 文 使 用 手册 : 


2003/01/14: 第 一 次 完成 

2003/01/18: 新 增 问题 讨论 : 关于 中 文 的 说 明 

2003/01/21: 新 增 问题 讨论 : 关于 PHP 无 法 使 用 的 问题 说 明 
2003/04/28: 加 入 侈 站 软件 的 程序 说 明 

2003/04/29: 加 入 PHP 原始 码 程序 优化 模块 MM Cache 说 明 。 


2003/05/07: 加 入 ab 这 个 效能 测试 的 说 明 | 


2003/05/30: 使 用 Tarball 安装 时 常常 发 生 一 些 困 扰 ， 加 入 User/Group 
的 设 定 说 明 ! 


2003/09/10: 将 原本 在 2002/12 安装 Tarball 的 软件 更 新 为 目前 2003/09 
最 新 的 版 


本 来 安装 喔 |! 
2003/10/02: 加 入 一 些 问 题 的 克服 之 道 喔 ! 


2004/03/25: 修订 2004/03/25: 修订 MySQL 安装 的 流程 ! 第 四 步骤 加 
入 权限 的 修订 ! 


2004/09/03: 修改 了 MMCache 的 主 网 页 。 
2006/10/21: 将 旧 的 文章 移动 到 此 处 
2006/11/09: 花 了 很 多 时 间 修 改 ， 不 再 提供 tarball 的 安装 需求 了 ! 


2006/11/10: 预先 释 出 版 本 ， 包 括 修 改 MM Cache 成 为 eaccelerator、 增 
加 SSL 修改 


awstats 之 安装 等 。 


2010/02/08: 网 友 告 知 ，SSL 建 置 的 genrsa 应 该 是 private key 而 非 
public key 喔 ! 


这 部 份 鸟 哥 误 解 了 。 
2011/05/10: 将 旧 的 基于 CentOS 4.x 的 版 本 移动 到 此 处 


2011/05/27: 终于 改 完 了 ! 这 次 的 改版 幅度 不 会 很 大 ， 主 要 是 适应 在 
CentOS 5.x 的 版 


本 上 面 啦 ! 
2011/08/05: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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最 近 更 新 日 期 : 2011/08/08 


FTP (File Transfer Protocol) 可 说 是 最 古老 的 协议 之 一 了 ， 主 要 是 用 来 进 
行 档案 的 传输 ， 尤 其 是 大 型 


档案 的 传输 使 用 FTP 更 是 方便 ! 不 过 ， 值 得 注意 的 是 ， 使 用 FTP 来 传 
输 时 ， 其 实 是 具有 一 定 程 度 的 『 人 危 


险 性 4 ， 因为 数据 在 因特网 上 面 是 完全 没有 受到 保护 的 『 明 码 」 传输 
方式 ! 但 是 单纯 的 FTP 服务 还 是 


有 其 必要 性 的 ， 例 如 很 多 学 校 就 有 FTP 服务 器 的 架设 需求 啊 ! 
21.1 FTP 的 数据 链 路 原理 

21.1.1 FTP 功能 简介 

21.1.2 FTP 的 运作 流程 和 到 的 端口 口 


21.1.3 客户 端 选择 被 动 式 联 机 模式 


21.1.4 FTP 的 安全 性 问题 与 埠 代 方案 
21.1.5 开放 什么 身份 也 登入 
21.2 vsftpd 服务 器 基础 设 定 

21.2.1 为 何 使 用 vsftpd 


21.2.3 vsftpd.conf 设 定 值 说 明 
21.2.4 vsftpd 启动 的 模式 
21.2.5 CentOS 的 vsftpd 默认 值 :_ 使 用 本 地 端 时 站 


21.2.6 针对 实体 账号 的 设 定 :SELinux, chroot, 限制 带宽 , 最 大 上 线 人 数 ， 
了 可 


21.2.8 防火 墙 设 害 

21.2.9 常见 问题 与 解决 之 道 

21.3 客户 端的 图 形 接口 FTP 联机 软 

21.3.1 Filezilla 

21.3.2 透 过 浏览 器 取得 FTP 时 

21.4 计 vsftpd 增加 SSL 的 加 密 功 能 

21.5 重点 回顾 

21.6 本 童 习 题 

21.7 参考 数据 与 延伸 阅读 

21.8 针对 本 文 的 建议 ;http:/phorum.vbird.org/viewtopic.php?p=118520 
21.1 FTP 的 数据 链 路 原理 

FTP (File transfer protocol) 是 相当 古老 的 传输 协议 之 一 ， 他 最 主要 的 功 
能 是 

在 服务 需 与 客户 端 之 间 进 行 档案 的 传输 。 这 个 古老 的 协议 使 用 的 是 明 
码 传输 方式 ， 且 
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过 去 有 相当 多 的 安全 危机 历史 。 为 了 更 安全 的 使 用 FTP 协议 ,我 们 主 
要 介绍 较为 安全 


但 功能 较 少 的 vsftpd 这 个 软件 呐 。 


2.1.1 FTP 功能 简介 


FTP 服务 如 的 功能 除了 单纯 的 进行 档案 的 传输 与 管理 之 外 ， 依 据 服务 
妖 软 件 的 设 定 


架构 ， 它 还 可 以 提供 几 个 主要 的 功能 。 克 下 我 们 约略 的 来 谈 一 谈 : 
不 同等 级 的 用 户 里 份 : user, guest, anonymous 


FTP 服务 如 在 预 设 的 情况 下 ， 依 据 使 用 者 登入 的 情况 而 分 为 三 种 不 同 
的 号 份 ， 分 别 


是 : (1) 实 体 账号 ,real user; (2) 访 客 , guest; (3) 匿 名 登录 者 ,anonymous 
这 三 种 。 


这 三 种 吴 份 的 用 户 在 系统 上 面 的 权限 老 异 很 大 喔 ! 例如 实体 用 户 取 得 
系统 的 权限 比较 完 


整 ， 所 以 可 以 进行 比较 多 的 动作 ;至 于 匿名 登录 者 ， 大 概 我 们 就 仅 提 
供 他 下 载 资 源 的 


能 力 而 已 ， 并 不 许 匿名 者 使 用 太 多 主机 的 资源 啊 ! 当然 , 这 三 种 人 物 
能 够 使 用 的 『 在 


线 指令 4 目 然 也 融 不 相同 吧 ! 人 和 信 


命令 记录 与 登录 文件 记录 ; 


FTP 可 以 利用 系统 的 sysloed 来 进行 数据 的 纪录 而 记录 的 数据 报 括 了 
用 户 曾经 


下 达 过 的 命令 与 用 户 传输 数据 (传输 时 间 、 档案 大 小 等 等 ) 的 纪录 呢 ! 
所 以 你 可 以 很 轻 


松 的 在 /var/log/ 里 面 找到 各 项 登录 信息 喔 ! 


吕 
限制 用 户 活动 的 目录 :”(change root, 简称 chroot) 


为 了 避免 用 户 在 你 的 Linux 系统 当中 随意 选 大 街 ( 意 指 离开 用 户 上 自己 的 
家 目 如 而 


进入 到 Linux 系统 的 其 他 目录 去 )， 所 以 将 使 用 者 的 工作 范围 『 局 限 J 
在 用 户 的 家 目 


录 底 下 ， 咖 ! 实在 是 个 不 错 的 好 主意 ! FTP 可 以 限制 用 户 仪 能 在 自己 
的 家 目录 当中 活动 


喔 ! 如 此 一 来 ， 由 于 使 用 者 无 法 离开 目 己 的 家 目 杂 ， 而 且 登 入 FTP 
后 ， 显 示 的 『 根 目 


录 J」 束 是 目 己 家 目录 的 内 容 ， 这 种 环境 称 之 为 change root ， 人 简称 
chroot ， 改 变 根 


目录 的 意思 啦 ! 


这 有 什么 好 处 昵 ? 当 一 个 恶意 的 使 用 者 以 FTP 登入 你 的 系统 当中 ， 如 
和 没有 


chroot 的 环境 下 ， 他 可 以 到 /etc, /usr/local, /home 等 其 他 重要 目录 底下 
去 察看 档 
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案 数据 ， 尤 其 是 很 重要 的 /etc/ 的 下 的 配置 文件 ， 如 /etc/passwd 等 等 。 
如 果 你 没有 


做 好 一 些 档案 权限 的 管理 与 保护 ， 那 他 整 有 办 法 取得 系统 的 某 些 重要 
言 轧 ， 用 来 工 入 


侵 4 你 的 系统 呢 ! 所 以 在 chroot 的 环境 下 ， 当 然 就 比较 安全 一 些 咯 ! 
21.1.2 FTP 的 运作 流程 与 使 用 到 的 端口 口 


FTP 的 传输 使 用 的 是 TCP 封包 协议 ， 在 入 
TCP 在 建立 


联机 前 会 先进 行 三 向 交 握 。 不 过 FTP 服务 器 是 比较 麻烦 一 些 ， 因 为 
FTP 服务 器 使 用 了 


两 个 联机 ， 分 别 是 命令 信道 与 数据 流通 道 (ftp-data)。 这 两 个 联机 都 需 
要 经 过 三 同 交 


握 ， 因为 是 TCP 封包 嘛 ! 那么 这 两 个 联机 通道 的 关系 是 如 何 呢 ? 底下 
我 们 先 以 FTP 预 


设 的 主动 式 (active) 联机 来 作 个 简略 的 说 明 鹃 : 
图 21.1-1、FTP 服务 器 的 主动 式 联机 示意 图 


人 简单 的 联机 流程 整 如 上 图 所 示 ， 至 于 联机 的 步 又 是 这 样 的 : 
1. 建立 命令 通道 的 联机 


人 
与 FTP 


服务 器 端的 port 21 达成 联机 ， 这 个 过 程 当然 需要 三 向 交 握 了 ! 达成 联 
机 后 客 


户 端 便 可 以 透 过 这 个 联机 来 对 FTP 服务 器 下 达 指 令 ， 包 括 查 询 文件 
名 、 下 载 、 


上 传 等 等 指令 都 是 利用 这 个 通道 来 下 达 的 ; 
2. 通知 FTP 服务 器 端 使 用 active 且 告 知 连 接 的 埋 号 


FTP 服务 右 的 21 埋 号 主要 用 在 命令 的 下 达 ， 但 是 当 牵 涉 到 数据 流 时 ， 
束 不 是 使 


用 这 个 联机 了 。 客户 端 在 需要 数据 的 情况 下 ， 会 告知 服务 器 端 要 用 什 
公司 站 来 


SS 客户 端 会 移 随 机 局 用 一 个 埋 口 


21.1-1 当中 的 port BB) ， 且 透 过 命令 通道 告知 FTP 服务 器 这 两 个 信 
息 ， 并 等 


待 FTP 服务 韭 的 联机 ; 


net.giang@hotmail.com 
3. FTP 服务 器 【主动 」 回 客户 端 联机 


FTP 服务 器 由 命令 通道 了 解 客户 端的 需求 后 ， 会 主动 的 由 20 这 个 塌 号 
回 客 户 端 


的 port BB 联机 ， 这 个 联机 当然 也 会 经 过 三 向 交 握 啦 ! 此 时 FTP 的 客 
户 端 与 


服务 器 端 共 会 建立 两 条 联机 ， 分 别 用 在 命令 的 下 达 与 数据 的 传递 。 而 
预 设 FTP 


服务 硕 问 使 用 的 主动 联机 埋 号 融 是 port 20 哆 ! 


如 此 一 来 则 成 功 的 建立 起 了 命令 4 与 『 数 据 传输 4 两 个 信道 ! 不 过 ， 
要 注意 的 是 ， 


『 数 据 传 输 信 道 」J 是 在 有 数据 传输 的 行为 时 才 会 建立 的 通道 喔 ! 并 不 
征 一 开始 连接 到 


FTP 服务 器 就 立刻 建立 的 通道 呢 ! 留意 一 下 史 ! 

0 

主动 式 联机 使 用 到 的 塌 号 

利用 上 述 的 说 明 来 整理 一 下 FTP 服务 器 端 会 使 用 到 的 塌 号 主要 有 ; 
0 命令 通道 的 ftp (默认 为 port 21) 与 

0 数据 传输 的 ftp-data (默认 为 port 20) 。 


再 强调 一 次 ， 这 两 个 埋 口 的 工作 是 不 一 样 的 ， 而 且 ， 重 要 的 是 两 者 的 
联机 发 起 端 是 

不 一 样 的 ! 首先 port 21 主要 接受 来 目 客 户 端的 主动 联机 ， 至 于 port 20 
则 为 FTP 服 


务 郁 主动 联机 至 客户 端 呢 ! 这 样 的 情况 在 服务 天 与 客户 端 两 者 同时 为 


公共 IP (Public 


IP) 的 因特网 上 面 通常 没有 太 大 的 问题 ， 不 过 ， 万 一 你 的 客户 端 是 在 防 
火 墙 后 端 ， 或 者 


征 NAT 服务 右 后 端 呢 ? 会 有 什么 问题 发 生 呢 ? 撒 下 我 们 来 谈 一 谈 这 个 
产 重 的 问题 ! 


0 
在 主动 联机 的 FTP 服务 右 与 客户 端 之 间 具 有 防火 墙 的 联机 问题 


回想 一 的 第 九 章 防火 墙 ! 一 般 来 说 ， 很 多 的 局 域 网 络 都 会 使 用 
防火 墙 


(iptables) 的 NAT 功能 ， 那 么 在 NAT 后 端的 FTP 用 户 如 何 连 接 到 FTP 
服务 器 呢 ? 


我 们 可 以 人 简单 的 以 下 图 来 说 明 : 
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eon” 
weno 
PT 
wm 


Port BB 轼 是 等 不 到 囊 邵 .,， Port BB 


图 21.1-2、FTP 客户 端 与 服务 器 端 联机 中 间 具 有 防火 墙 的 联机 状态 
1. 用 户 与 服务 器 间 命 令 信道 的 建立 : 


因为 NAT 会 主动 的 记录 由 内 部 送 往外 部 的 联机 信息 ， 而 由 于 命令 信道 
的 建立 是 


端 回 服务 器 端 联机 的 ， 因 此 这 一 条 联机 可 以 顺利 的 建立 起 来 


2. 用户 与 服务 器 间 数 据 信道 建立 时 的 通知 : 


同样 的 ， 客 户 端 主机 会 先 启 用 port BB ， 并 透 过 命令 通道 告知 FTP 服 
务 机 ， 昌 


等 待 服务 人 右 端 的 主动 联机 ， 
3. 服务 絮 主 动 连 到 NAT 等 每 转 弟 至 客户 端的 联机 问题 : 


但 是 由 于 透 过 NAT 的 转换 后 ，FTP 服务 器 只 能 得 知 NAT 的 IP 而 不 是 
客户 端的 


IP ， 因此 FTP 服务 器 会 以 port 20 主动 的 向 NAT 的 port BB 发 送 主动 
联机 


的 要 求 。 但 你 的 NAT 并 没有 启动 port BB 来 监听 FTP 服务 器 的 联机 
啊 ! 


了 解 问题 的 所 在 了 吗 ? 在 FTP 的 主动 式 联机 当中 ，NAT 将 会 被 视 为 客 
户 端 ， 但 NAT 


其 实 并 非 客 户 端 啊 ， 这 就 造成 问题 了 。 如 果 你 曾经 在 卫 分 享 器 后 面 连 
接 某 些 FTP 服 


务 器 时 ， 可 能 偶尔 会 发 现 明明 就 连接 上 FTP 服务 器 了 (命令 通道 已 建 
Y)， 但 是 束 是 无 


法 取得 文件 名 的 列表 ， 而 是 在 超过 一 段 时 间 后 显示 『 Can't build data 


connection: 


Connection refused， 无 法 进行 数据 传输 J 之 类 的 讯 娠 ， 那 肯定 就 是 这 
个 原因 所 造成 


的 困扰 了 


9 没有 办 法 可 以 克服 这 个 问题 呢 ? 难道 真 的 在 Linux NAT 后 面 融 一 
法 使 用 


FTP 吗 ? 当然 不 是 ! 目前 有 两 个 简易 的 方法 可 以 克服 这 个 问题 : 
0 使 用 iptables 所 提供 的 FTP 侦 测 模块 : 


其 实 iptables 早 束 提供 了 许多 好 用 的 模块 了 ， 这 个 FTP 当然 不 会 被 错 
过 | 你 


可 以 使 用 modprobe 这 个 指令 来 加 载 ijp_conntrack_ftp 及 ip_nat_ftp 等 模 


块 ， 0 【目标 是 port 21 的 联机 J 信息， 所 以 可 
以 得 色 


port BB 的 资料 ， 此 时 若 接受 到 FTP 服务 器 的 主动 联机 ， 就 能 够 将 该 封 
包 导 问 


正确 的 后 端 主 机 了 ! 人 人 
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Port AA 


Port AA 
Port BB 


如 果 你 链接 的 目标 FTP 服务 需 他 的 命令 通道 默认 端口 号 并 非 标 
准 的 21 


塌 号 时 (例如 某 些 地 下 FTP 服务 器 )， 那 么 这 两 个 模块 束 无 法 顺利 解析 
RT], 


这 样 说 ， 理 解 吗 ? 
DD 客户 并 选择 被 动 式 (Passive) 联机 模式 : 


除了 主动 式 联机 之 外 ，FTP 还 提供 一 种 称 为 被 动 式 联机 的 模式 ， 什 么 
征 被 动 式 呢 ? 


既然 主动 式 是 由 服务 善 同 客户 端 联 机 ， 反 过 来 讲 ， 被 动 式 束 生 由 客户 
端 加 服务 天 


端 发 起 联机 的 嗓 ! 既然 是 由 客户 端 发 起 联机 的 ， 那 自然 就 不 需要 考虑 
是 目 port 


20 的 联机 啦 ! 关于 被 动 式 联机 模式 将 在 下 一 小 让 介 绍 喔 ! 
21.1.3 客户 端 选择 被 动 式 联机 模式 


那么 什么 是 被 动 式 联机 呢 ? 我 们 可 以 使 用 拘 下 的 图 示 来 作 个 简略 的 介 
绍 喔 : 


图 21.1-3、FTP 的 被 动 式 数 据 流 联机 流程 

1. 用户 与 服务 器 建立 命令 信道 : 

同样 的 需要 建立 命令 通道 ， 透 过 三 向 交 握 就 可 以 建立 起 这 个 通道 了 。 
2. 客户 端 发 出 PASV 的 联机 要 求 : 


当 有 使 用 数据 信道 的 指令 时 ， 客 户 端 可 透 过 命令 通道 发 出 PASYV 的 被 
动 式 联机 要 


求 (Passive 的 缩写 )， 并 等 竺 服务 右 的 回应 ; 
3. FTP 服务 器 启动 数据 端口 口 ， 并 通知 客户 端 联机 : 
如 果 你 的 FTP 服务 器 是 能 够 处 理 被 动 式 联机 的 ， 此 时 FTP 服务 絮 会 先 


局 动 二 个 


塌 口 在 监听 。 这 个 端口 口号 码 可 能 是 随机 的 ， 也 可 以 自 定 义 革 一 范围 
的 埋 口 ， 
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端 看 你 的 FTP 服务 大 软件 而 定 。 然后 你 的 FTP 服务 珍 会 透 过 命令 通道 
告知 客 


户 端 该 已 经 启动 的 塌 口 (图 中 的 port PASV)， 并 等 待 客户 端的 联机 。 
4. 客户 端 随机 取 用 大 于 1024 的 塌 口 进行 连接 : 


然后 你 的 客户 端 会 随机 取 用 一 个 大 于 1024 的 端口 号 来 对 主机 的 port 
PASV 联 


机 。 如 琳 一 切 部 顺利 的 话 ， 那 么 你 的 FTP 数据 束 可 以 透 过 port BB 及 


port 
PASYV 来 传送 了 。 


发 现 上 面 的 不 同 点 了 吗 ? 被 动 式 FTP 数据 信道 的 联机 方向 是 由 客户 端 
癌 服 务 句 端 


联机 的 咀 ! 如 此 一 来 ， 在 NAT 内 部 的 客户 端 主机 天 可 以 顺利 的 连接 上 
FTP Server 了 | 


但 是 ， 万 一 FTP 主机 也 是 在 NAT 后 端 那 怎么 办 ... 呵 呵 ! 那 可 就 类 了 吧 
一 @_@ 这 里 就 


牵涉 到 更 深入 的 DMZ 技巧 了 ， 我 们 这 里 暂 不 介绍 这 些 深入 的 技巧 ， 先 
理解 一 下 这 些 特 


殊 的 联机 方 品 ， 这 将 有 助 于 你 未 来 服务 胡 架 设 时 候 的 考虑 因素 喔 ! 


此 外 ， 不 晓得 你 有 无 发 现 ， 透 过 PASYV 模式 ， 服 务 器 在 没有 特别 设 定 
的 情况 下 ， 会 


随机 选取 大 于 1024 的 塌 口 来 提供 客户 端 连 接 之 用 。 那 么 万 一 服务 右 局 
用 的 塌 口 被 搞 野 


皇 么 办 ? 而 且 ， 如 此 一 来 也 很 难 追 踩 来 目 入 侵 痢 攻击 的 登录 信息 啊 ! 
所 以 ， 这 个 时 候 


我 们 可 以 透 过 passive ports 的 功能 来 了 限定 」 服务 右 局 用 的 port number 
嘱 ! 


21.1.4 FTP 的 安全 性 问题 与 替代 方案 


其 实 ， 在 FTP 上 面 传送 的 数据 很 可 能 被 穷 取 ， 因 为 FTP 是 明码 传输 的 
嘛 ! 而 且 某 


些 FTP 服务 器 软件 的 资 安 历史 问题 也 是 很 严重 的 。 因此， 一 般 来 说 ， 
除非 是 学 校 或 者 

是 一 些 社 团 单 位 要 开放 没有 机 密 或 授权 问题 的 资料 之 外 ，FTP 是 少 
为 妙 的 。 

拜 SSH 所 网 ， 目 前 我 们 已 经 有 较为 安全 的 FTP 了， 那 就 是 ssh 提供 的 
sftp 这 


个 server 啊 ! 这 个 sftp-server 最 大 的 优点 就 是 : 『 在 上 面 传输 的 数据 是 
经 过 加 密 


的 ] ! 所 以 在 因特网 上 面 流窜 的 时 候 ， 嘿 嘿 ! 毕竟 是 比较 安全 一 些 
啦 ! 所 以 建议 你 ， 


除非 必要 ， 否 则 的 话 使 用 SSH 提供 的 sftp-server 功能 即 可 一 


然而 这 个 功能 对 于 一 些 习 惯 了 图 形 接口 ， 或 者 是 有 中 文档 名 的 使 用 者 
来 说 ， 实 在 是 


不 怎么 方便 ， 虽 说 目前 有 个 图 形 接口 的 包 ezilla 客户 端 软 件 ， 不 过 很 多 


时 候 还 是 会 


CY 


发 生 一 些 莫名 的 问题 说 ! 所 以 ， 有 的 时 候 FTP 网 站 还 是 有 其 存在 的 需 
要 的 。 如 果真 的 


要 架设 FTP 网 站 ， 那 么 还 是 得 需要 注意 几 个 事项 喔 : 

1. 随时 更 新 到 最 新 版 本 的 FTP 软件 ， 并 随时 注意 漏洞 讯息 ; 
2. 善 用 iptables 来 规定 可 以 使 用 FTP 的 网 域 ; 

3. 善 用 TCP_Wrappers 来 规范 可 以 登入 的 网 域 ; 


4. 善 用 FTP 软件 的 设 定 来 限制 使 用 你 FTP 服务 絮 的 使 用 者 的 不 同 权 限 
呵 ; 


5. 使 用 Super daemon 来 进 阶 管理 你 的 FTP 服务 正 ; 


6. 随时 注意 用 户 的 家 目录 、 以 及 匿名 用 户 登入 的 目录 的 『 档 案 权 
限 J4 ; 


7. 看 不 对 外 公开 的 话 ， 或 许 也 可 以 修改 FTP 的 port 。 
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8. 也 可 以 使 用 FTPs 这 种 加 密 的 FTP 功能 | 


无 论 如 何 ， 在 网 络 上 听 过 太 多 人 都 是 由 于 开放 FTP 这 个 服务 此 而 导致 
整个 主机 被 


入 侵 的 事件 ， 所 以 ， 这 里 真 的 要 给 他 一 直 不 断 的 强调 ， 要 注意 安全 
啊 ! 


21.1.5 开放 什么 映 份 的 使 用 首 登 入 


既然 FTP 是 以 明码 传输 ， 并 且 某 些 早 期 的 FTP 服务 紫 软 件 也 有 不 少 的 
安全 源 洞 ， 


那 又 为 何 需要 架设 FTP 服务 器 啊 ?” 没 办 法 啊 ， 总 是 有 人 有 需要 这 个 玩 
意 儿 的 ， 璧 如 说 


各 大 专 院 校 不 束 有 提供 FTP 网 站 的 服务 吗 ? 这 样 可 以 让 校内 的 同学 共 
同 分 享 校内 的 


网 络 资源 嘛 ! 不 过 ， 由 于 FTP 登入 者 的 映 份 可 以 分 为 三 种 ， 你 到 的 要 
开放 哪 一 种 号 份 


全 入 呢 ? 这 个 时 候 你 可 以 这 样 简 单 的 思考 一 下 吃 : 
[0 
开放 实体 用 户 的 情况 (Real user): 


很 多 的 FTP 服务 器 默认 就 已 经 允许 实体 用 户 的 登 信 了。 不 过 ， 和 需要 了 
解 的 是 ， 以 


实体 用 户 做 力 FIP 登 人 音 匡 份 时 ， 系统 默认 并 没有 针对 实体 用 户 来 进 
行 了 限制 4 的 ， 


所 以 他 可 以 针对 整个 文件 系统 进行 任何 他 所 具有 权限 的 工作 。 因此， 
如 果 你 的 FTP 使 


用 者 没 能 好 好 的 保护 目 己 的 密码 而 导致 被 入 侵 ， 那 么 你 的 整个 Linux 
系统 数据 将 很 有 


可 能 被 寞 取 啊 ! 开放 实体 用 户 时 的 建议 如 下 : 


人 
到 主机 


来 进行 工作 (例如 SSH)， 因 此 实在 没有 需要 特别 的 开放 FTP 的 服务 
啊 ! 因为 例 


如 sftp 本 来 束 能 达到 传输 档案 的 功能 史 ! 


0D 限制 用 户 能 力 ， 如 chroot 与 /sbin/nologin 等 : 如 果 确 定 要 让 实体 用 
户 

利用 FTP 服务 器 的 话 ， 那 么 你 可 能 需要 让 某 些 系统 账号 无 法 登入 FTP 
才 行 ， 例 

如 bin, apache 等 等 。 节 人 答 单 常用 的 作法 是 透 过 PAM 模块 来 处 理 ， 壁 如 


vsftpd 这 个 软件 默认 可 以 透 过 /etc/vsftpd/ftpusers 这 个 档案 来 设 定 不 想 
下 


他 具有 登入 FTP 的 账号 。 另 外 ， 将 使 用 者 身份 chroot 是 相当 需要 的 ! 
吕 
访客 映 份 (Guest) 


通常 会 建立 guest 身份 的 案例 当中 ， 多 半 是 由 于 服务 器 提供 了 类 似 『 个 
人 Web 首 


页 4 的 功能 给 一 般 喘 份 用 户 ， 那 么 这 些 使 用 者 总 是 需要 管理 目 己 的 网 


页 空间 吧 ? 这 个 


net.giang@hotmail.com 


时 候 将 使 用 者 的 身份 压缩 成 为 guest ， 并 且 将 他 的 可 用 目录 设 定好 ， 即 
可 捉 供 使 用 者 


一 个 方便 的 使 用 环境 了 ! 且 不 需要 提供 他 real user 的 权限 喔 ! 和 常见 的 
建议 如 下 : 


0 仅 提供 需要 登入 的 账号 即 可 ， 不 需要 提供 系统 上 面 所 有 人 均 可 登入 的 
环境 啊 ! 


上 当然， 我 们 在 服务 器 的 设 定 当中 ， 需 要 针对 不 同 的 访客 给 他 们 不 一 
9 『 家 


目录 4 ， 而 这 个 家 目录 与 用 户 的 权限 设 定 需要 相符 合 喔 ! 例如 要 提供 


dmtsai 这 


个 人 管理 他 的 网 页 空间 ， 而 他 的 网 页 空间 放置 在 /home/dmtsai/www 砍 
下 ， 那 我 


就 将 dmtsai 在 FTP 提供 的 目录 仅 有 mhome/dmtsai/www 而 已 ， 比 较 安 全 
啦 ! 


而 且 也 方便 使 用 着 啊 ! 
人 需要 设 定 较 多 的 限制 ， 包 括 : 上 下 传 档案 数目 与 
硬盘 容 


量 的 限制 、 联 机 登入 的 时 间 限 制 、 许 可 使 用 的 指令 要 减少 很 多 很 多 ， 
例如 chmod 


束 不 要 允许 他 使 用 等 等 ! 
0 
匿名 登录 使 用 者 (anonymous) 


虽然 提供 匿名 登录 给 因特网 的 使 用 者 进入 实在 不 古 个 好 主意 ， 因 为 每 
个 人 部 可 以 去 


下 载 你 的 数据 ， 万 一 融 罗 被 吃 光 光 怎 么 办 ? 但 如 同 前 面 讲 过 的 ， 学 校 


单位 需要 分 诗 全 


校 同学 一 些 软 件 资 源 时 ， FTP 服务 右 也 古 一 个 很 不 错 的 解决 方案 啊 ! 
你 说 是 吧 。 如 采 


要 开放 匿名 用 户 的 话 ， 要 注意 : 


无 沦 如 何 ， 提 供 区 名 登录 剖 是 一 件 相当 危险 的 事情 ， 因 为 只 要 你 一 丰 
小心 ， 


酝 重 要 的 资料 放 轩 到 攻 名 者 可 以 总 取 的 目录 中 时 ， 那 么 就 委 有 可 能 会 
泄密 ! 与 其 


战 战 殊 蔬 ， 不 如 整 不 要 设 定 啊 ~ 


0 革 真 要 开放 匿名 登录 时 ， 很 多 限制 都 要 进行 的 ， 这 包括 : (1) 允 许 的 
工作 指 


令 要 减低 很 多 ， 几乎 号 不 许 匿名 着 使 用 指令 啦 、(2) 限 制 文件 传输 的 数 


量 ， 尽 量 


不 要 允许 了 【上传 」4 数 据 的 设 定 、(3) 限 制 匿 名 者 同时 登入 的 最 大 联机 数 
量 ， 可 以 


控制 咨 连 喔 ， 


一 般 来 说 ， 如 果 你 是 要 放置 一 些 公开 的 、 没 有 版 权 纠纷 的 数据 在 网 络 
上 供 人 下 载 的 


话 ， 那么 一 个 仅 提供 匿名 登录 的 FTP 服务 器 ， 并 且 对 整个 因特网 开放 
是 OK 的 啦 ! 不 


过 ， 如 琳 你 预计 要 提供 的 的 软件 或 数据 是 具有 版 权 的 ， 但 是 该 版 权 允 
许 你 在 贵 单位 内 传 


输 的 情况 下 ， 那么 架设 一 个 『 仅 针对 内 部 开放 的 匿名 FTP 服务 器 ( 利 
用 防火 墙 处 理 ) J 


也 是 OK 的 啦 ! 


如 膝 你 还 想 要 让 使 用 者 反馈 的 话 ， 那 是 否 要 染 设 一 个 匿名 着 可 上 传 的 
区 域 呢 ? 乌 哥 


对 这 件 事 情 的 看 法 是 .... 【万 万 不 可 4 啊 ! 如 琳 要 让 使 用 者 反馈 的 话 ， 
除非 该 使 用 者 


是 你 信任 的 ， 否 则 不 要 允许 对 方 上 传 ! 所 以 此 时 一 个 文件 系统 权限 管 
理 严格 的 FTP 服 


务 器 ， 并 提供 实体 用 户 的 登入 束 有 点 需求 啦 ! 总 之 ， 要 依照 你 的 需求 
来 思考 是 否 有 需 


要 喔 ! 
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0 
21.2 vsftpd 服务 器 基础 设 定 


终于 要 来 聊 一 聊 这 个 简单 的 vsftpd 吧 ! vsftpd 的 全 名 是 『Very Secure 
FTP 


Daemon J 的 意思 ， 换 名 话说，vsftpd 最 初 发 展 的 理念 就 是 在 建构 一 个 
以 安全 为 重 的 


FTP 服务 器 呢 ! 我 们 先 来 聊 一 聊 为 什么 vsftpd 号称 『 非 常安 全 J 呢 ? 
然后 再 来 谈 设 定 


吧 ! 
21.2.1 为 何 使 用 vsftpd 


为 了 建构 一 个 安全 为 主 的 FTP 服务 器 ， vsftpd 针对 操作 系统 的 『 程 序 
的 权限 


(privilege)J 概念 来 设计 ， 读 讨 基础 篇 从 
的 话 ， 应 该 


会 晓得 系统 上 面 所 执行 的 程序 都 会 引发 一 个 程序 ， 我 们 称 他 为 PID 
(Process ID)， 这 


个 PID 在 系统 上 面 能 进行 的 任务 与 他 拥有 的 权限 有 关 。 也 就 是 说 ， 
PID 拥有 的 权限 等 


级 越 高 ， 他 能 够 进行 的 任务 就 越 多 。 举 例 来 说 ， 使 用 root 身份 所 触发 
的 PID 通常 拥 


有 可 以 进行 任何 工作 的 权限 等 级 。 
不 过 ， 万 一 触发 这 个 PID 的 程序 (program) 有 漏洞 而 导致 被 网 络 怪 客 


(cracker) 


所 攻击 而 取得 此 PID 使 用 权时 ， 那么 网 络 怪 客 将 会 取得 这 个 PID 拥有 
的 权限 呐 ! 所 


以 ， 近 来 发 展 的 软件 都 会 尽量 的 将 服务 取得 的 PID 权限 降低 ， 使 得 该 
服务 即使 不 小 心 


被 入 侵 了 ， 入 侵 首 也 无 法 得 到 有 效 的 系统 管理 权限 ， 这 样 会 让 我 们 的 
系统 较为 安全 的 啦 。 


vsftpd 束 基 于 这 种 想法 而 设计 的 。 


除了 PID 方面 的 权限 之 外 ， vsftpd 也 支持 chroot 这 个 函 式 的 功能 ， 
chroot 顾 


名 思 义 就 是 『 change root directory 4 的 意思 ， 那 个 root 指 的 是 『 根 目 
孙 J 而 非 


系统 管理 员 。 他 可 以 将 某 个 等 定 的 目 孙 变 成 根 目 示 ， 所 以 与 该 目 永 没 
有 关系 的 其 他 目 


采 束 不 会 被 误 用 了 。 


0 如 果 你 以 匿名 身份 登入 我 们 的 ftp 服务 的 话 ， 通 常 你 会 被 限 
定 在 


/varftp 目 孙 下 工作 ， 而 你 看 到 的 根 目 孙 其 实 惑 只 是 /var/ftp ， 人 至 于 系 
统 其 他 如 


/etc, /home, /usr... 等 其 他 目录 你 就 看 不 到 了 1! 这 样 一 来 即使 这 个 ftp 服 
务 被 攻 


了 破 了 ， 没 有 关系 ， 入 侵 者 还 是 仅 能 在 /var/ftp 里 面 跑 来 跑 去 而 已 ， 而 无 
法 使 用 Linux 


的 完整 功能 。 目 然 我 们 的 系统 也 就 会 比较 安全 啦 ! 


vsftpd 是 基于 上 面 的 说 明 来 设计 的 一 个 较为 安全 的 FTP 服务 器 软件 ， 
他 具有 夺 下 


的 特点 喔 : 
0 vsftpd 这 个 服务 的 局 动 着 身份 为 一 般 用 户 ， 所 以 对 于 Linux 系统 的 权 


限 较 


低 ， 对 于 Linux 系统 的 危害 就 相对 的 减低 了 。 此 外 ， vsftpd 亦 利 用 
chroot() 


这 个 芳 式 进行 改换 根 目录 的 动作 ， 使 得 系统 工具 不 会 馈 vsftpd 这 文 服 
务 所 误 用 ; 
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名 
oe 较 高 执行 权限 的 vsftpd 指令 均 以 一 文 特殊 的 上 层 程序 所 


制 ， 人 的 较 高 执行 权限 功能 已 经 被 限制 的 相当 的 低 ， 并 
以 不 影响 


Linux 本 身 的 系统 为 准 ; 
0 绝 大 部 分 ftp 会 使 用 到 的 额外 指令 功能 (dir, 1s, cd …) 都 已 经 被 整合 


到 vsftpd 主 程序 当中 了 ， 因 此 理论 上 vsftpd 不 需要 使 用 到 额外 的 系统 
提供 的 


日 令 ， 所 以 在 chroot 的 情况 下 ，vsftpd 不 但 可 以 顺利 运作 ， 且 不 需要 额 
外 功 


能 对 于 系统 来 说 也 比较 安全 。 


口 所 有 来 自 客户 端 且 想 要 使 用 这 文 上 层 程 序 所 提供 的 较 高 执行 权限 之 
vsftpd 


指令 的 需求 ， 均 被 视 为 『 不 可 信任 的 要 求 」 来 处 理 ， 必 需要 经 过 相当 
程度 的 身 


份 确 认 后 ， 方 可 利用 该 上 层 程序 的 功能 。 例 如 chown(), Login 的 要 求 
从 人 二 


汪汪 人 D 


作 ; 


0 上 面 提 到 的 上 层 程序 中 ， 依 然 使 用 chroot() 的 功能 来 限制 用 户 


行 权 限 。 


由 于 具有 这 样 的 特点 ， 所 以 vsftpd 会 变 的 比较 安全 一 些 咯 ! 底下 就 开 
始 来 谈 如 何 


设 定 吧 ! 
21.2.2 所 需要 的 软件 以 及 软件 结构 


vsftpd 所 需要 的 软件 只 有 一 个 ， 那 就 是 vsftpd 啊 ! 和 人 人! 如 果 你 的 
CentOS 没有 


安装 ， 请 利用 yum install vsftpd 来 安装 他 吧 ! 软件 很 小 ， 下 载 连 同安 装 
不 需要 几 秒 


钟 束 搞 定 了 ! 而 事实 上 整个 软件 提供 的 配置 文件 也 少 的 令 人 高 兴 ! 简 
单 易 用 就 是 vsftpd 


的 特色 啊 ! 这 些 设 定数 据 比较 重要 的 有 : 


D /etc/vsftpd/vsftpd.conf 


挛 格 来 说 ， 整 个 vsftpd 的 配置 文件 丈 只 有 这 个 档案 ! 这 个 档案 的 设 定 
是 以 bash 


也 束 是 了 参数 = 设 定 值 4 来 设 定 的 ， 


SN 


号 两 边 不 能 有 空白 喔 ! 至 于 详细 的 vsftpd.conf 可 以 使 用 『 man 5 
vsftpd.conf 4 来 详 碍 。 
D /etc/pam.d/vsftpd 


vsftpd 使 用 PAM 模块 时 的 相关 配置 文件 。 主 要 用 来 作为 号 份 认 
于 之 用 ， 


还 有 一 些 用 户 身份 的 抵挡 功能 。 也 是 透 过 这 个 档案 来 达成 的 ， 你 可以 
察看 一 下 


该 档案 : 

[root@www ~]# cat /etc/pam.d/vsftpd 
#%PAM-1.0 

Session optional pam_keyinit.so force revoke 


auth required pam_jistfile.so item=user Sense=deny file=/etc/vsftpd/ftpusers 
onerr=succeed 
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auth required pam_shells.so 
auth include password-auth 
account include password-auth 


session required pam_loginuid.so 


session include password-auth 


和 
器 


征 说 ， 其 实 你 的 限制 档案 不 见得 要 使 用 系统 稚 认 值 ， 也 可 以 在 这 个 档 
案 里 面 进行 


修改 啦 ! 和信 
D /etc/vsftpd/ftpusers 


与 上 一 个 档案 有 关系 ， 也 就 是 PAM 模块 (/etc/pam.d/vsftpd) 所 指定 的 那 
人 


法 登入 的 用 户 配 置 文件 啊 ! 这 个 档案 的 设 定 很 商 单 ， 你 只 要 将 『 不 想 
让 他 登入 


FTP 的 账号 」 写 入 这 个 档案 即 可 。 一 行 一 个 账号 ， 看 起 来 像 这 样 : 
[root@www ~]# cat /etc/vsftpd/ftpusers 

# Users that are not allowed to login via ftp 

root 

bin 

daemon 

.…( 底 下 省 略 ).… 


瞧见 没有 ? 绝 大 部 分 的 系统 账号 都 在 这 个 档案 内 喔 ， 也 束 是 讽 ， 系 统 
账号 默认 是 


没有 办 法 使 用 vsftpd 的 啦 ! 如 果 你 还 想 要 让 某 些 使 用 者 无 法 登入 ， 写 
在 这 里 


征 最 快 的 ! 


[ /etc/vsftpd/user_list 
这 个 档案 是 否 能 够 生效 与 vsftpd.conf 内 的 两 个 参数 有 关 ， 分 别 是 
『 userlist_enable, userlist_deny 」。 如 采 说 /etc/vsftpd/ftpusers 是 
PAM 模块 的 抵挡 设 定 项 目 ， 那 么 这 个 /etc/vsftpd/user_list 则 是 vsftpd 目 


定义 的 抵挡 项 目 。 事 实 上 这 个 档案 与 /etc/vsftpd/ftpusers 儿 平 一 模 一 
样 ， 在 


预 设 的 情况 下 ， 你 可 以 将 不 布 望 可 登入 vsftpd 的 账号 写 入 这 里 。 不 过 
这 个 档案 


的 功能 会 依据 vsftpd.conf 配置 文件 内 的 userlist_deny={YES/NO} 而 不 
同 ， 


这 得 要 特别 留意 喔 ! 


D /etc/vsftpd/chroot_list 


个 档案 预 设 是 不 存在 的 ， 所 以 你 必须 要 手动 自行 建立 。 这 个 档案 的 
主要 功能 是 


J chroot 在 他 们 的 家 目录 下 ! 但 这 个 档案 要 生 
效 与 


vsftpd.conf 内 的 『 chroot_list_enable, chroot_list_file 」 两 个 参数 有 关 。 


如 膝 你 想 要 将 某 些 实体 用 户 限 制 在 他 们 的 家 目录 下 而 不 许 到 其 他 目录 
去 ， 可 以 局 


动 这 个 设 定 项 目 喔 ! 
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[ /usr/sbin/vsftpd 


这 束 是 vsftpd 的 主要 执行 档 咯 ! 不 要 怀疑 ， vsftpd 只 有 这 一 个 执行 档 
而 已 啊 ! 


[L /var/ftp/ 


这 个 是 vsftpd 的 预 设 匿 名 者 登入 的 根 目 永 喔 ! 其 实 与 ftp 这 个 账号 的 家 
目 永 


有 天 啦 ! 


大 致 上 就 只 有 这 几 个 档案 需要 注意 而 已 ， 而 且 每 个 档案 的 设 定 又 都 很 
简单 ! 真是 不 


销 啊 ! 
21.2.3 vsftpd.conf 设 定 值 说 明 


事实 上 ，/etc/vsftpd/vsftpd.conf 本 吴 了 驶 是 一 个 挺 详细 的 配置 文件 ， 且 使 
用 『 man 


5 vsftpd.conf 」 则 可 以 得 到 完整 的 参数 说 明 。 不 过 我 们 这 里 依旧 先 将 
vsftpd.conf 


内 的 第 用 参数 给 他 写 出 来 ,希望 对 你 有 帮助 : 
UD 

与 服务 器 环境 较 相 关 的 设 定 值 

0D connect_from_port_20=YES (NO) 


记得 在 十 一 小 中 近 到 的 主动 式 聊 机 便 用 的 FTP 服务 如 的 port 吐 ? 这 束 
证 


ftp-data 的 坦 号 ; 


DU listen_port=21 


vsftpd 使 用 的 命令 通道 port， 如 采 你 想 要 使 用 非 正 规 的 塌 号 ， 在 这 个 设 
定 项 目 


修改 吧 ! 不 过 你 必须 要 知道 ， 这 个 设 定 值 仪 适合 以 stand alone 的 方式 
来 启动 


喔 ! (对 于 super daemon 无 效 ) 
DU dirmessage_enable=YES (NO) 


当 用 户 进入 某 个 目录 时 ， 会 显示 该 目录 需要 注意 的 内 容 ， 显 示 的 档案 
默认 


是 .message ， 你 可 以 使 用 故 下 的 设 定 项 目 来 修订 ! 


LD message file=.message 


当 dirmessage_enable=YES 时 ， 可 以 设 定 这 个 项 目 来 让 vsftpd 寻找 该 档 
案 来 
站 


显示 讯息 ! 
D listen=YES (NO) 


若 设 定 为 YES 表示 vsftpd 是 以 standalone 的 方式 来 启动 的 ! 预 设 是 NO 
哎 | 


所 以 我 们 的 CentOS 将 它 改 为 YES 哩 ! 这 样 才 能 使 用 stand alone 的 方 
式 来 唤 


醒 。 
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LD pasv_enable=YES (NO) 


支持 数据 流 的 被 动 式 联 机 模式 (passive mode)， 一 定 要 设 定 为 YES 的 
啦 ! 


DU use_localtime=YES (NO) 


i 
JFTP 


内 的 档案 日 期 会 比 台 湾 晚 8 小 时 ， 建 议 修改 设 定 为 YES 吧 ! 
0D write_enable=YES (NO) 

如 果 你 允许 用 户 上 传 数据 时 ， 就 要 启动 这 个 设 定 值 ; 

0 connect_timeout=60 


0 
60 秒 内 得 


不 到 客户 端的 啊 应 ， 则 不 等 竺 并 强制 断 线 咯 。 
DU accept_timeout=60 


当 用 户 以 被 动 式 PASV 来 进行 数据 传输 时 ， 如 果 服 务 器 启用 passive 


port 并 等 
每 client 超过 60 秒 而 无 回应 ， 那 么 束 给 他 强制 断 线 ! 这 个 设 定 值 与 


connect_timeout 类 似 ， 不 过 一 个 是 管理 主动 联机 ， 一 个 管理 被 动 联 
机 。 


[| data_connection_timeout=300 


人 客户 端的 数据 联机 已 经 成 功 建立 (不 论 主动 还 是 被 动 联 
记 ， 但 是 


可 能 由 于 线路 问题 导致 300 秒 内 还 是 无 法 顺利 的 完成 数据 的 传送 ， 那 
客户 端的 


联机 就 会 被 我 们 的 vsftpd 强制 别 除 ! 


DU idle_session_timeout=300 


如 时 使 用 者 在 300 秘 内 部 没有 命令 动作 ， 强 制 脱 机 避免 占 着 芝 坟 不 
立 屎 ~ 


LU max_clients=0 


如 果 vsftpd 是 以 stand alone 方式 启动 的 ， 那 么 这 个 设 定 项 目 可 以 设 定 
同一 


时 间 ， 最 多 有 多 少 client 可 以 同时 连 上 vsftpd 哩 ! 限制 使 用 FTP 的 用 


量 ! 

[| max_per_ip=0 

与 上 面 max_clients 类 似 ， 这 里 是 同一 个 IP 同一 时 间 可 允许 多 少 联机 ? 
DU pasv_min_port=0, pasv_max_ port=0 


上 面 两 个 是 与 passive mode 使 用 的 port number 有 天 ， 如 果 你 想 要 使 用 
65400 


到 65410 这 11 个 port 来 进行 被 动 式 联机 模式 的 连接 ， 可 以 这 样 设 定 


pasv_max_port=65410 以 及 pasv_min_port=65400。 如 果 是 0 的 话 ， 表 
示 随 机 


取 用 而 不 限制 。 

ftpd_banner= 一 些 文字 说 明 

当 使 用 者 联机 进入 到 vsftpd 时 ， 在 FTP 客户 端 软件 上 头 会 显示 的 说 明 
文字 。 

不 过 ， 这 个 设 定 值 数 据 比较 少 啦 ! 建议 你 可 以 使 用 底下 的 banner file 
设 定 值 


来 取代 这 个 项 目 ; 


net.giang@hotmail.com 


LD banner_file=/path/file 


目 可 以 指定 某 个 纯 文本 档 作 为 使 用 者 登入 vsftpd 服务 絮 时 所 显 
示 的 欢 


。 同时， 也 能 够 放置 一 些 让 使 用 者 知道 本 FTP 服务 器 的 目 孙 织 
A] | 


[0D 
与 实体 用 户 较 相 关 的 设 定 值 
DL guest_enable=YES (NO) 


寿 这 个 值 设 定 为 YES 时， 那么 任何 实体 账号 ， 均 会 被 假设 成 为 guest 
喔 (所 以 


! 至 于 访客 在 vsftpd 当中 ， 预 设 会 取得 ftp 这 个 使 用 


相关 权限 。 但 可 以 透 过 guest_username 来 修改 。 


LD guest_username=ftp 


在 guest_enable=YES 时 才 会 生效 ， 指 定 访客 的 身份 而 已 。 
[| local_enable=YES (NO) 


这 个 设 定 值 必须 要 为 YES 时 ， 在 /etc/passwd 内 的 账号 才能 以 实体 用 户 
的 方式 


登入 我 们 的 vsftpd 服务 器 喔 ! 
Llocal_ max_rate=0 
实体 用 户 的 传输 速度 限制 ， 单 位 为 bytes/second， 0 为 不 限制 。 


[ chroot_local_user=YES (NO) 


下 ， 十 否 要 将 使 用 兰 限 制 在 目 己 的 家 目 孙 之 内 (chrooby 
[ 采 坪 


YES 代表 用 户 默 认 就 会 被 chroot， 如 果 是 NO， 则 预 设 是 没有 chroot。 
不 过 ， 


实际 还 是 需要 抵 下 的 两 个 参数 互相 参考 才 行 。 为 了 安全 性 ， 这 里 应 该 
要 设 定 成 


YES 才 好 。 
DU chroot_list_enable=YES (NO) 


是 否 启用 chroot 写 入 列表 的 功能 ? 与 压 下 的 chroot list_flie 有 关 ! 这 个 
项 


目 得 要 开局 ， 否 则 底下 的 列表 档案 会 无 效 。 


D chroot_list_file=/etc/vsftpd.chroot_list 

如 采 chroot_list_enable=YES 那么 就 可 以 设 定 这 个 项 目 了 ! 这 个 项 目 与 
chroot_local_user 有 天 ， 详 细 的 设 定 状态 请 参考 21.2.6 chroot 的 说 明 。 
DU userlist_enable=YES (NO) 


是 否 厌 助 vsftpd 的 抵挡 机 制 来 处 理 某 些 不 受 欢 迎 的 账号 ， 与 底下 的 参 
数 设 定 有 


A 
DU userlist_deny=YES (NO) 


当 userlist_enable=YES 时 才 会 生效 的 设 定 ， 大 此 设 定 值 为 YES 时 ， 则 
当 使 用 


者 账号 被 列 入 到 某 个 档案 时 ， 在 该 档案 内 的 使 用 者 将 无 法 登入 vsftpd 
服务 器 ! 


该 档案 文件 名 与 下 列 设 定 项 目 有 关 。 
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DU userlist_file=/etc/vsftpd/user_list 


在 上 面 userlist_deny=YES 时 ， 则 这 个 档案 就 有 用 处 了 ! 在 这 个 档案 内 
的 账号 


都 无 法 使 用 vsftpd 喔 ! 

[ 

匿名 者 登入 的 设 定 值 

0 anonymous_enable=YES (NO) 


设 定 为 允许 anonymous 登入 我 们 的 vsftpd 主机 ! 预 设 是 YES ， 改 下 的 
所 有 相 


关 设 定 都 需要 将 这 个 设 定 为 anonymous_enable=YES 之 后 才 会 生效 ! 
[ anon_world_readable_only=YES (NO) 

仅 人 允许 anonymous 具有 下 载 可 读 档 案 的 权限 ， 预 设 是 YES 。 

[ anon_other_write_enable=YES (NO) 


是 否 允 许 anonymous 具有 除了 写 入 之 外 的 权限 ? 包括 删除 与 改写 服务 
厂 上 的 档 


案 及 档 名 等 权限 。 预 设 当然 是 NO! 如 果 要 设 定 为 YES， 那 么 开放 给 


anonymous 写 
入 的 目录 亦 需 要 调整 权限 ， 让 vsftpd 的 PID 拥有 者 可 以 写 入 才 行 ! 


[ anon_mkdir_write_enable=YES (NO) 


是 否 让 anonymous 具有 建立 日 录 的 权限 ? 默认 值 是 NO! 如 果 要 设 定 为 
YES， 那 


人 anony_other_write_enable 必须 设 定 为 YES | 
[] anon_upload_enable=YES (NO) 


是 否 让 anonymous 具有 上 传 数据 的 功能 ， 默 认 是 NO， 如 果 要 设 定 为 
YES ， 则 


anon_other_ write_enable=YES 必须 设 定 。 
[| deny_email_enable=YES (NO) 


将 某 些 特殊 的 email address 抵挡 住 ， 不 让 那些 anonymous 登入 ! 如 果 
Bp 


anonymous 登入 服务 套 时 ， 不 是 会 要 求 输入 密码 吗 ” 密码 不 是 要 你 输入 
你 的 


email address 吗 ? 如 果 你 很 讨厌 某 些 email address， 束 可 以 使 用 这 个 设 
定 


来 将 他 取消 登入 的 权限 ! 需 与 下 个 设 定 项 目 配合 : 


[| banned_email_ file=/etc/vsftpd/banned_emails 


如 果 deny_email_enable=YES 时 ， 可 以 利用 这 个 设 定 项 目 来 规定 哪个 
email 


address 不 可 登入 我 们 的 vsftpd 喔 ! 在 上 面 设 定 的 档案 内 ， 一 行 输入 一 
| 


email address 即 可 ! 


[| no_anon_password=YES (NO) 


当 设 定 为 YES 时， 表示 anonymous 将 会 略 过 密码 检验 步骤 ， 而 直接 进 
入 vsftpd 


服务 器 内 喔 ! 所 以 一 般 预 设 都 是 NO 的 ! (登入 时 会 检查 输入 的 emai) 
[| anon_max_rate=0 


人 bytes/ 秒 ， 限 制 anonymous 的 传输 速 
受 ， 刀 


net.qiang@Ohotmail.com 


果 是 0 则 不 限制 (由 最 大 市 宽 所 限制 )， 如 果 你 想 让 anonymous 仪 有 30 
KB/s 


的 速度 ， 可 以 设 定 『anon max rate=30000J 
[| anon_umask=077 


限制 anonymous 上 传 档案 的 权限 ! 如 果 是 077 则 anonymous 传送 过 来 
的 档案 


权限 会 是 -rw------- 喔 ! 
关于 系统 安全 方面 的 一 些 设 定 值 
D ascii download_enable=YES (NO) 


0 YES ， 那 么 dient 就 优先 ( 预 设 ) 使 用 ASCII 格式 下 载 文 


DU ascii_upload_enable=YES (NO) 
与 上 一 个 设 定 类 似 的 ， 只 是 这 个 设 定 针 对 上 传 而 言 ! 预 设 是 NO 


[| one_process_model=YES (NO) 


这 个 设 定 项 目 比 较 危 险 一 点 一 当 设 定 为 YES 时 ， 表 示 每 个 建立 的 联机 
都 会 拥有 

一 文 process 在 负责 ， 可 以 增加 vsftpd 的 效能 。 不 过 ， 除非 你 的 系统 比 
较 安 


人 全， 而且 人 硬件 配备 比较 高 ， 否 则 容易 耗 尽 系统 资源 喔 ! 一 般 建议 设 定 
为 NO 的 啦 ! 


DU tcp_wrappers=YES (NO) 
当然 我 们 都 习惯 文 持 TCP Wrappers 的 啦 ! 所 以 设 定 为 YES 吧 ! 
[| xferlog_enable=YES (NO) 


当 设 定 为 YES 时 ， 使 用 者 上 传 与 下 载 文件 部 会 被 纪录 起 来 。 记 如 的 档 


案 与 下 一 


个 设 定 项 目 有 关 : 


D xferlog_file=/var/log/xferlog 


如 果 上 一 个 xferlog_enable=YES 的 话 ， 这 里 就 可 以 设 定 了 ! 这 个 是 登 
录 档 的 档 


名 | 
[| xferlog_std_format=YES (NO) 


征 否 设 定 为 wu ftp 相同 的 登录 档 格 式 ? 预 设 为 NO ， 因 为 登录 档 会 比 


较 容易 读 ! 


不 过 ， 如 果 你 有 使 用 wu ftp 登录 文件 的 分 析 软 件 ， 这 里 才 需 要 设 定 为 
YES 


DU dual_log_enable=YES, vsftpd_log file=/var/log/vsftpd.log 


除了 /var/log/xferlog 的 wu-ftp 格式 登录 档 之 外 ， 还 可 以 具有 vsftpd 的 
独 

特 登 录 档 格式 喔 ! 如 果 你 的 FTP 服务 希 并 不 是 很 忙 碟 ， 或许 订 出 两 个 
登录 档 的 

撰写 (/var/log/{vsftpd.log,xferlog) 是 不 错 的 。 


LD nopriv_user=nobody 


我 们 的 vsftpd 预 设 以 nobody 作为 此 一 服务 执行 者 的 权限 。 因 为 nobody 
的 权 


限 相当 的 低 ， 因 此 即使 被 入 侵 ， 入 侵 者 仅 能 取得 nobody 的 权限 喔 ! 
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0D pam_service_name=vsftpd 

这 个 是 pam 模块 的 名 称 ， 我 们 放置 在 /etc/pam.d/vsftpd 即 是 这 个 吹 吃 ! 


上 面 这些 羡 负 见 的 vsftpd 的 设 定 参 数 ， 还 有 很 多 参数 我 没有 列 出 来 ， 
你 可 以 使 用 


man 5 vsftpd.conf 查阅 喔 ! 不 过 ， 基 本 上 上 面 这 些 参数 已 经 够 我 们 设 定 
vsftpd l 罗 。 


21.2.4 vsftpd 启动 的 模式 


vsftpd 可 以 使 用 stand alone 或 super daemon 的 方式 来 启动 ， 我 们 
CentOS 预 


设 是 以 stand alone 来 局 动 的 。 那 什么 时 候 应 该 选择 stand alone 或 者 是 


super 


daemon 呢 ? 如 琳 你 的 ftp 服务 占 是 提供 给 整个 因特网 来 进行 大 量 下 载 
的 任务 ， 例 如 各 


大 专 院 校 的 FTP 服务 器 ， 那 建议 你 使 用 stand alone 的 方式 ， 服务 的 速 
度 上 会 比较 


好 。 如 果 仅 是 提供 给 内 部 人 员 使 用 的 FTP 服务 器 ， 那 使 用 super 
daemon 来 管理 即 可 


啊 。 

0 

利用 CentOS 提供 的 script 来 启动 vsftpd (stand alone) 

其 实 CentOS 不 用 作 任 何 设 定 束 能 够 启动 vsftpd 吵 ! 是 这 样 启动 的 啦 : 
[root@www ~]# /etc/init.d/vsftpd start 

[root@www ~]# netstat -tulnp| grep 21 

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 11689/vsftpd 

# 看 到 哆 ， 是 由 vsftpd 所 局 动 的 呢 ! 

0D 

目 行 设 定 以 super daemon 来 启动 (有 必要 再 进行 ， 不 用 实 作 ) 


如 果 你 的 FTP 是 很 少 被 使 用 的 ， 那 么 利用 super daemon 来 管理 不 失 为 
一 个 好 主 


意 。 不 过 知 你 想 要 使 用 super daemon 管理 的 话 ， 那 就 得 要 自行 修改 一 
下 配置 文件 了 。 


其 实 也 不 难 啦 ， 你 应 该 要 这 样 处 理 的 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 


# 找到 listen=YES 这 一 行 : 大 约 在 109 行 左 右 啦 ， 并 将 它 改 成 : 
listen=NO 
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接 下 来 修改 一 下 super daemon 的 配置 义 件 ， 故 下 这 个 档案 你 必须 要 目 
行 建立 的 ， 原 本 


是 不 存在 的 喔 : 


[root@www ~]# yum install xinetd <== 假 设 xinetd 没有 安装 时 
[root@www ~]# vim /etc/xinetd.d/vsftpd 
service ftp 

{ 

socket_type = stream 

wait = no 

user = root 

server = /usr/sbin/vsftpd 

log_on_success += DURATION USERID 
log_on_failure += USERID 

nice = 10 

disable = no 


} 


然后 尝试 局 动 看 看 呢 : 

[root@www ~]# /etc/init.d/vsftpd stop 
[root@www ~]# /etc/init.d/xinetd restart 
[root@www ~]# netstat -tulnp| grep 21 

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 32274/xinetd 


有 趣 吧 ! 两 者 启动 的 方式 可 不 一 样 啊 ! 管理 的 方式 束 会 差 很 多 的 吻 ! 
不 管 你 要 使 用 哪 种 


局 动 的 方式 ， 切 记 不 要 两 者 同时 局 动 ， 否 则 会 发 生 错 误 的 ! 你 应 该 使 
用 chkconfig 


--list 检查 一 下 这 两 种 启动 的 方式 ， 然 后 依据 你 的 需求 来 决定 用 哪 一 种 
办 起 刁 葬 半 记 


哥 确 下 的 设 定 都 会 以 stand alone 这 个 CentOS 默认 的 局 动 模式 来 处 理 ， 
所 以 赶紧 将 


刚刚 的 动作 给 他 改 回 来 喔 ! 
21.2.5 CentOS 的 vsftpd 默认 值 


在 CentOS 的 默认 值 当 中 ，vsftpd 是 同时 开放 实体 用 户 与 匿名 用 户 的 ， 
CentOs 的 


默认 值 如 下 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
#1. 与 匿名 者 有 天 的 信息 .: 


anonymous_enable=YES <== 文 持 匿 名 者 的 登入 使 用 FTP 功能 
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# 2. 与 实体 用 户 有 关 的 设 定 

local_enable=YES <== 支 持 本 地 端的 实体 用 户 登 入 
write_enable=YES <== 人 允许 用 户 上 传 数 据 (包括 档案 与 目录 ) 
local_umask=022 <== 建 立新 目录 (755) 与 档案 (644) 的 权限 

# 3. 与 服务 器 环境 有 关 的 设 定 

dirmessage_enable=YES <== 若 目录 下 有 .message 则 会 显示 该 档案 的 
内 容 


xferlog_enable=YES <== 启 动 登录 文件 记录 ， 记 采 于 


/var/log/xferlog 

connect_from_port_20=YES <== 文 持 主动 式 联机 功能 
xferlog_std_format=YES <== 文 持 WuFTP 的 登录 档 格 式 
listen=YES <== 使 用 stand alone 方式 局 动 vsftpd 
pam_service_name=vsftpd <== 支 持 PAM 模块 的 管理 
userlist_enable=YES <== 文 持 /etc/vsftpd/user_list 档案 内 的 
账号 登入 管控 ! 

tcp_wrappers=YES <== 文 持 TCP Wrappers 的 防火 墙 机 制 


上 面 各 项 设 定 值 请 目 行 参考 21.2.3 的 详细 说 明 吧 。 而 通过 这 样 的 设 定 
值 咀 们 的 


vsftpd 可 以 达到 如 下 的 功能 : 


0 你 可 以 使 用 anonymous 这 个 匿名 账号 或 其 他 实体 账号 (/etc/passwd) 登 


入 ; 
0D anonymous 的 家 目录 在 /var/ftp ， 且 无 上 传 权限 ， 亦 已 经 被 chroot 
J 


0 实体 用 户 的 家 目录 参考 /etc/passwd， 并 没有 被 chroot， 可 前 往 任 何 有 
权 


限 可 进入 的 目录 中 ; 

0 任何 于 /etc/vsftpd/ftpusers 内 存在 的 账号 均 无 法 使 用 vsftpd (PAM); 

口 可 利用 /etc/hosts.{allowldeny} 来 作为 基础 防火 寺 ; 

0 当 客 户 端 有 任何 上 传 /下 载 信息 时 ， 该 信息 会 被 纪录 到 /var/log/xferlog 
和 

0 主动 式 联机 的 井口 为 port 20; 

使 用 格林 威 治 时 间 (GMT)。 


所 以 当 你 局 动 vsftpd 后 ， 你 的 实体 用 户 束 能 够 直接 利用 vsftpd 这 个 服 
务 来 传输 

他 目 己 的 数据 了 。 不 过 比较 大 的 问题 是 ， 因 为 vsftpd 预 设 使 用 GMT 
时 间 ， 因 为 你 在 


客户 端 使 用 ftp 软件 连接 到 FTP 服务 器 时 ， 会 发 现 每 个 档案 的 时 间 都 慢 
了 八 小 时 了 ! 


真是 讨厌 啊 ! 所 以 建议 你 加 设 一 个 参数 值 ， 就 是 『 use_localtime=YES 
」 嘿 | 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 


# 在 这 个 档案 当中 的 最 后 一 行 加 入 这 一 句 即 可 


use_localtime=YES 


[root@www ~]# /etc/init.d/vsftpd restart 
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[root@www ~]# chkconfig vsftpd on 


如 此 一 来 你 的 FTP 服务 器 不 但 可 以 提供 匿名 账号 来 下 载 /var/ftp 的 数 
据 ， 如 末 使 用 


实体 账号 来 登入 的 话 ， 就 能 够 进入 到 该 用 户 的 家 目录 底下 去 了 ! 真是 
很 简单 方便 的 一 


个 设 定 啊 ! 且 使 用 本 地 端 时 间 呢 ! 人 和信 


另外 ， 如 果 你 预计 要 将 FTP 开放 给 Itemet 使 用 时 ， 请 注意 得 要 开放 防 
火 墙 哩 


关于 防火 墙 的 建 置 情况 ， 由 于 牵涉 到 数据 流 的 主动 、 被 动 联机 方式 ， 
因此 ， 还 得 要 加 


入 防火 墙 模 块 。 这 部 份 我 们 在 后 续 的 21.2.8 小 区 再 加 以 介绍 ， 反正 ， 
最 终 记 得 要 开放 


FTP 的 联机 要 求 就 对 了 ! 
21.2.6 针对 实体 账号 的 设 定 


虽然 在 CentOS 的 上 默认 情况 当中 实体 用 户 已 经 可 以 使 用 FTP 的 服务 
了 ， 不 过 我 们 

可 能 还 需要 一 些 额外 的 功能 来 限制 实体 用 户 。 举 例 来 说 ， 限 制 用 户 无 
法 离开 家 目 永 


(chroot)、 限 制 下 载 速率 、 限 制 用 户 上 传 档 案 时 的 权限 (mask) 等 等 。 属 
下 我 们 先 列 


出 一 些 布 望 达到 的 功能 ， 然 后 再 继续 进行 额外 功能 的 处 理 ; 

0 希望 使 用 台湾 本 地 时 间 取 代 GMT 时 间 ; 

D 用 户 登 入 时 显示 一 些 欢迎 讯 轧 的 信息 

0 系统 账号 不 可 登入 主机 ( 亦 即 UID 小 于 500 以 下 的 账号 ); 

0 一般 实 体 用 户 可 以 进行 上 传 、 下 载 、 建 并 目录 及 修改 档案 等 动作 ; 
吕 用 户 新 增 的 档案 、 目 录 之 umask 希望 设 定 为 002; 

0 其 他 主机 设 定 值 保 留 默 认 值 即 可 。 


你 可 以 目 行 处 理 vsftpd.conf 这 个 档案 ， 以 下 则 是 一 个 范例 。 注 意 ， 如 
果 你 的 


vsftpd.conf 没有 相关 设 定 值 ， 请 上 自行 补 上 吧 ! OK! 让 我 们 开始 一 步 一 
步 来 依 序 处 理 


先 : 
1. 先 建立 主 配置 文件 vsftpd.conf， 这 个 配置 文件 已 经 包含 了 主要 设 定 
值 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

#1. 与 匿名 者 相关 的 信息 ， 在 这 个 案例 中 将 匿名 登录 取消 : 
anonymous_enable=NO 

# 2. 与 实体 用 户 相关 的 信息 : 可 写 入 ， 且 umask 为 002 喔 ! 
local_enable=YES 

write_enable=YES 


local_ umask=002 


userlist_enable=YES 
net.giang@hotmail.com 
userlist_deny=YES 
userlist_file=/etc/vsftpd/user_list <== 这 个 档案 必须 存在 ! 还 好 ， 预 设 
有 此 档案 ! 

# 3. 与 服务 万 环 境 有 关 的 设 定 
use_localtime=YES 
dirmessage_enable=YES 
xferlog_enable=YES 
connect_from_port_20=YES 
xferlog_std_format=YES 
listen=YES 
pam_service_name=vsftpd 
tcp_wrappers=YES 


banner_file=/etc/vsftpd/welcome.txt <== 这 个 档案 必须 存在 ! 需 手 动 建 
| 


[root@www ~]# /etc/init.d/xinetd restart <== 取 消 super dameon 
[root@www ~]# /etc/init.d/vsftpd restart 
2. 建立 欢迎 讯息 : 


当 我 们 想 让 登入 者 可 查阅 明 们 系统 管理 员 所 下 达 的 『 公 告 4 事 项 时 ， 
可 以 使 用 这 


个 设 定 ! 那 就 是 banner_file=/etc/vsftpd/welcome.txt 这 个 参数 的 用 途 
了! 


我 们 可 以 编辑 这 个 档案 即 可 。 好 了 ， 开 始 来 建 并 欢迎 画面 吧 ! 
[root@www ~]# vim /etc/vsftpd/welcome.txt 

欢迎 光临 本 小 站 ， 本 站 提供 FTP 的 相关 服务 ! 
主要 的 服务 是 针对 本 机 实体 用 户 提供 的 ， 

在 有 任何 问题 ， 请 与 乌 哥 联络 ! 

3. 建立 限制 系统 账号 登入 的 档案 


再 来 是 针对 系统 账号 来 给 予 抵 挡 的 机 制 ， 其 实 有 两 个 档案 啦 ， 一 个 是 
PAM 模块 


管 的 ， 一 个 是 vsftpd 主动 提供 的 ， 在 预 设 的 情况 下 这 两 个 档案 分 别 
是 : 


o /etc/vsftpd/ftpusers: 就 是 /etc/pam.d/vsftpd 这 个 档案 的 设 定 
所 影响 的 ; 

o /etc/vsftpd/user_list: 由 vsftpd.conf 的 userlist_file 所 设 

和 o 

net.giang@hotmail.com 


这 两 个 档案 的 内 容 是 一 样 的 哩 一 并 且 这 两 个 档案 必须 要 存在 才 行 。 请 
你 参考 你 的 


/etc/passwd 配置 文件 ， 然 后 将 UID 小 于 500 的 账号 名 称 给 他 同时 写 到 
这 两 


个 档案 内 吧 ! 一 行 一 个 账号 ! 


[root@www ~]# vim /etc/vsftpd/user_list 


root 
bin 
…( 压 下 省 略 )..… 


4. 测试 结果 : 


你 可 以 使 用 图 形 接 口 的 FTP 客 刻 剖 软 件 来 处 理 ， 也 可 以 通过 Linux 本 
身 提供 的 


ftp 客户 端 功能 哩 ! 关于 ftp 指令 我 们 已 经 在 第 五 童 谈 过 了 ， 你 可 以 自 
行 前 往 


参考 。 这 里 直接 测试 一 下 吧 : 

# 测试 使 用 已 知 使 用 者 登入 ， 例 如 dmtsai 这 个 实体 用 户 : 
[root@www ~]# ftp localhost 

Trying 127.0.0.1... 

Connected to localhost (127.0.0.1). 


220- 欢 迎 光 临 本 小 站 ， 本 站 提供 FTP 的 相关 服务 ! <== 刚 刚 建立 的 欢 
迎 讯 


自 


/JU 


220- 主 要 的 服务 是 针对 本 机 实体 用 户 提供 的 ， 
220- 知 有 任何 问题 ， 请 与 马 哥 联 络 ! 
220 


Name (localhost:root): Student 


331 Please specify the password. 

Password: <== 输 入 密码 哆 在 这 里 ! 

500 OOPS: cannot change directory:/home/student <== 有 讲 登 入 失败 的 原 
因 喔 ! 

Login failed. 

ftp> bye 

221 Goodbye. 


由 于 默认 一 般 用 户 无 法 登入 FTP 的 ! 因为 SELinux 的 问题 啦 ! 请 参考 
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的 方式 来 处 理 。 然 后 以 上 面 的 方式 测试 完毕 后 ， 你 可 以 在 登入 着 账 号 
处 分 别 填 


写 (1)root (2)anonymous 来 笑 试 登入 看 看 ! 如 采 不 能 登入 的 话 ， 那 丈 是 
设 定 


OK 的 啦 ! (root 不 能 登入 是 因为 PAM 模块 以 及 user_list 设 定 值 的 天 
系 ， 而 


匿名 无 法 登入 ， 是 因为 我 们 vsftpd.conf 里 头 就 是 设 定 不 能 用 匿名 登录 
嘛 ! ) 


net.giang@hotmail.com 


上 面 是 最 简单 的 实体 账号 相关 设 定 。 那 如 采 你 还 想 要 限制 用 户 家 目录 
的 chroot 或 


其 他 如 速 限 等 数据 ， 束 得 要 看 看 底下 的 特殊 设 定 项 目 嗓 。 
0 


实体 账号 的 SELinux 议题 


在 预 设 的 情况 下 ，CentOS 的 FTP 十 不 允许 实体 账号 登入 取得 家 目 永 数 
据 的 ， 这 和 是 


因为 SELinux 的 问题 啦 ! 如 果 你 在 刚刚 的 ftp localhost 步骤 中 ， 在 bye 
离开 FTP 


之 前 下 达 过 『 dir 4 的话， 那 你 会 发 现 没 有 任何 质料 跑 出 来 ~ 这 并 不 是 
你 销 了 ， 而 二 


SELinux 不 太 对 劲 的 缘故 。 那 如 何 解 决 呢 ? 这 样 处 理 即 可 : 
[root@www ~]# getsebool -a | grep ftp 
allow_ftpd_anon_write --> off 

allow_ftpd_full_access --> off 

allow_ftpd_use _cifs --> off 

allow_ftpd_use_nfs --> off 

ftp_home_dir --> off <== 就 是 这 玩意 儿 ! 要 设 定 on 才 行 ! 
.…( 底 下 省 略 ).… 

[root@www ~]# setsebool -P ftp_home_dir=1 


这 样 就 搞定 哆 ! 如 果 还 有 其 他 可 能 发 生 错 误 的 原因 ， 包 括 档 案 数 据 使 
用 mv 而 非 使 用 cp 


导致 SELinux 文件 类 型 无 法 继承 原 有 目录 的 类 型 时 ， 那 就 请 自行 查阅 
/var/log/messages 的 内 容 吧 ! 通常 SELinux 没有 这 么 难处 理 的 啦 ! 和 人 
0 

对 用 户 (包括 未 来 新 增 用 户 ) 进行 chroot 


在 乌 哥 接触 的 一 般 FTP 使 用 环境 中 ， 大 多 数 都 是 要 开放 给 广 商 联机 来 
使 用 的 ， 给 


目 己 人 使 用 的 机 会 虽然 也 有 ， 不 过 使 用 着 数量 通常 比较 少 一 些 。 所 以 
路 ， 乌 哥 现在 都 


是 建议 默认 让 实体 用 户 通 通 被 chroot， 而 允许 不 必 chroot 的 账号 才 需 
要 和 额外 设 定 。 


这 样 的 好 处 是 ， 新 建 的 账号 如 果 忘 记 进 行 chroot， 反 正 原本 就 是 
chroot， 比较 不 用 


担心 如 果 该 账号 是 开 给 厂商 时 该 怎 办 的 问题 。 


现在 假设 我 系统 里 面 仅 有 vbird 与 dmtsai 两 个 账号 不 要 被 chroot， 其 他 
如 


student, smb1... 等 账号 通通 预 设 是 chroot 的 啦 ， 包 括 未 来 新 增 账号 也 全 
部 预 设 


chroot! 那 该 如 何 设 定 ? 很 简单 ， 三 个 设 定 值 加 上 一 个 额外 配置 文件 就 
搞定 了 ! 步骤 如 


#1. 修改 vsftpd.conf 的 参数 值 : 

net.qiang@Ohotmail.com 

[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 增加 是 否 设 定 针 对 某 些 使 用 者 来 chroot 的 相关 设 定 吻 | 
chroot_local_user=YES 

chroot_list_enable=YES 


chroot_list_file=/etc/vsftpd/chroot_list 


#2. 建立 不 被 chroot 的 使 用 者 账号 列表 ， 即 使 没有 任何 账号 ， 此 档案 也 
古 


要 存在 ! 

[root@www ~]# vim /etc/vsftpd/chroot_list 
vbird 

dmtsai 

[root@www ~]# /etc/init.d/vsftpd restart 


如 此 一 来 ， 除 了 dmtsai 与 vbird 之 外 的 其 他 可 用 FTP 的 账号 者 ， 通 通 


会 被 chroot 


在 他 们 的 家 目 隶 下， 这样 对 系统 比较 好 啦 ! 接 下 来 ， 请 你 目 己 分 别 使 
用 有 与 没有 被 


chroot 的 账号 来 联机 测试 看 看 。 
限制 实体 用 户 的 总 下 载 流 量 (市 宽 ) 


你 可 不 布 望 带 冤 被 使 用 者 上 传 /下 载 所 耗 尽 ， 而 影响 明 们 服务 句 的 其 他 
正常 服务 吧 ? 


所 以 限制 使 用 者 的 传输 市 宽 有 时 也 是 需要 的 ! 假设 了 我 要 限制 所 有 使 
用 者 的 总 传输 市 


宽 最 大 可 达 1 MBytes/ 秒 」 时 ， 你 可 以 这 样 做 即 可 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 增加 底下 这 一 个 参数 即 可 : 


local_max_rate=1000000 <== 记 住 喔 ， 单 位 是 bytes/second 


[root@www ~]# /etc/init.d/vsftpd restart 


上 述 的 单位 是 Bytes/ 秒 ， 所 以 你 可 以 依据 你 目 己 的 网 络 环 境 来 限制 你 的 
带宽 ! 这 样 就 


给 他 限制 好 嘿 ! 有 够 容易 吧 ! 那 怎么 测试 啊 ? 很 简单 ， 用 本 机 测试 最 
准 ! 你 可 以 用 dd 


做 出 一 个 10MB 的 档案 放 在 student 的 家 目 孙 下 ， 然 后 用 root 下 达 ftp 


localhost, 


并 输入 student 的 帐 密 ， 接 下 来 给 他 get 这 个 新 的 档案 ， 束 能 够 在 最 终 
知道 下 载 的 速 


度 啦 ! 
0D 
限制 最 大 同时 上 线 人 数 与 同一 IP 的 FTP 联机 数 


net.giang@hotmail.com 


如 采 你 有 限制 最 大 使 用 带宽 的 话 ， 那 么 你 可 能 还 需要 限制 最 大 在 线 人 
数 才 行 ! 举例 


来 说 ， 你 希望 最 多 只 有 10 个 人 同时 使 用 你 的 FTP 的 话 ， 并 且 每 个 IP 
来 源 最 多 只 能 


建立 一 条 FTP 的 联机 时 ， 那 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 增加 底下 的 这 两 个 参数 : 

max_clients=10 

max_per_ip=1 


[root@www ~]# /etc/init.d/vsftpd restart 


这 样 束 搞定 了 ! 让 你 的 FTP 不 会 人 满 为 患 呐 ! 

0 

建立 严格 的 可 使 用 FTP 的 账号 列表 

在 预 设 的 环境 当中 ， 我 们 是 将 『 不 许 使 用 FTP 的 账号 写 入 


/etc/vsftpd/user_list 


档案 3 ， 所 以 没有 写 入 /etc/vsftpd/user_list 当中 的 使 用 者 就 能 够 使 用 
FTP 了! 如 


此 一 来 ， 未 来 新 增 的 使 用 着 预 设 痢 能 够 使 用 FTP 的 服务 。 如 采 换 个 角 
度 来 思考 ， 基 我 


想 只 让 某 些 人 可 以 使 用 FTP 而 已 ， 亦 即 是 新 增 的 使 用 者 预 设 不 可 使 用 
FTP 这 个 服务 的 


话 那么 应 该 如 何 作 呢 ? 你 需要 修改 配置 文件 成 为 这 样 : 
[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 这 几 个 参数 必须 要 修改 成 这 样 : 

userlist_enable=YES 

userlist_deny=NO 

userlist_file=/etc/vsftpd/user_list 


[root@www ~]# /etc/init.d/vsftpd restart 


则 此 时 了 工 写 入 /etc/vsftpd/user_list 变 成 可 以 使 用 FTP 的 账号 3 了! 所 以 
未 来 新 


增 的 使 用 者 如 果 要 能 够 使 用 FTP 的 话 ， 束 人 须 要 写 入 
/etc/vsftpd/user_list 才 行 ! 


使 用 这 个 机 制 请 特别 小 心 ， 否 则 容易 搞 混 挥 ~~ 


透 过 这 几 个 简单 的 设 定 值 ， 相 信 vsftpd 已 经 可 以 符合 大 部 分 合法 FTP 
网 站 的 需 


求 哆 ! 更 多 详细 的 用 法 则 请 参考 man 5 vsftpd.conf 吧 ! 

例题 : 

假设 你 因为 某 些 特殊 需求 ， 所 以 必须 要 开放 root 使 用 FTP 传输 档案 ， 
那么 你 应 该 要 如 何 处 理 ? 


答 -. 


net.giang@hotmail.com 
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由 于 系统 账号 无 法 使 用 FTP 是 因为 PAM 模块 与 vsftpd 的 内 建功 能 所 
人 致 ， 亦 即 是 /etc/vsftpd/ftpusers 及 /etc/vsftpd/user_list 这 两 个 档案 


的 影响 。 所 以 你 只 要 进入 这 两 个 档案 ， 并 且 将 root 那 一 行 批 注 挥 ， 那 


了 


root 吏 
可 以 使 用 vsftpd 这 个 FTP 服务 了 。 不 过 ， 不 建议 如 此 作 喔 ! 
21.2.7 仅 有 匿名 登录 的 相关 设 定 


虽然 你 可 以 同时 开启 实体 用 户 与 匿名 用 户 ， 不 过 建议 你 ， 服 务 器 还 是 
依据 需求 ， 针 


对 单一 种 身份 来 设 定 吧 ! 底下 我 们 将 针对 匿名 用 户 来 设 定 ， 且 不 开放 
实体 用 户 。 一 般 


来 说 ， 这 种 设 定 是 给 类 似 大 专 院 校 的 FTP 服务 右 来 使 用 的 哩 ! 
0 使 用 台湾 本 地 的 时 间 ， 而 非 GMT 时 间 ; 
0 提供 欢迎 讯 电 ， 说 明 可 提供 下 载 的 信息 


0 仅 开 放 anonymonus 的 登入 ， 且 不 需要 输入 密码 ; 
0 文件 传输 的 速 限 为 1 Mbytes/second:; 
0 数据 连接 的 过 程 (不 是 命令 通道 ! ) 只 要 超过 60 秒 没 有 响应 ， 就 强制 
Client 断 线 ! 

只 要 anonymous 超过 十 分 钟 没 有 动作 ， 就 予以 断 线 ; 
A 


0 
默认 的 FTP 匿名 沽 的 根 目 录 所 在 : ftp 账号 的 家 目录 


OK! 那 如 何 设 定 呢 ? 前 先 我 们 必须 要 知道 的 十 匿名 用 户 的 目录 在 哪 
里 ? 事实 上 匿 


名 者 默认 登入 的 根 目录 是 以 ftp 这 个 用 户 的 家 目录 为 主 ， 所 以 你 可 以 使 
用 『 finger 


ftp 4 来 查阅 。 咀 们 的 CentOS 默认 的 匿名 者 根 目录 在 /var/ftp/ 中 。 且 


在 使 用 FTP 服务 时 ， 他 预 设 可 以 使 用 『 ftp 4 这 个 使 用 者 喘 份 的 权限 
喔 ， 只 是 被 


chroot 到 /var/ftp/ 目录 中 束 是 了 了。 


0 所 以 你 必须 将 要 提供 给 用 户 下 载 
由 


通通 给 放置 到 /var/ftp/ 去 。 假设 你 已 经 放置 了 linux 的 相关 目录 以 及 
gnu 的 相关 


软件 到 该 目录 中 了 ， 那 我 们 可 以 这 样 做 个 假设 : 


[root@www ~]# mkdir /var/ftp/linux 

[root@www ~]# mkdir /var/ftp/gnu 

然后 将 vsftpd.conf 的 数据 清空 ， 重 狐 这 样 处 理 他 吧 : 
1. 建立 vsftpd.conf 的 设 定数 据 
net.giang@hotmail.com 

[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 将 这 个 档案 的 全 部 内 容 改 成 这 样 : 


#1. 与 匿名 者 相关 的 信息 .: 


anonymous_enable=YES 

no_anon_password=YES <== 匿 名 登录 上 时， 系统 不 会 检验 密码 (通常 是 
email) 

anon_max_rate=1000000 <== 最 大 市 宽 使 用 为 1MB/s 左右 
data_connection_timeout=60 <== 数 据 流 联 机 的 timeout 为 60 秒 
idle_session_timeout=600 <== 帮 匿名 者 发 下 超过 10 分 钟 就 断 线 
max_clients=50 <== 最 大 联机 与 每 个 IP 的 可 用 联机 

max_ per_ip=5 

#2. 与 实体 用 户 相 关 的 信息 ， 本 案例 中 为 天 闭 他 的 情况 ! 
local_enable=NO 

# 3. 与 服务 万 环 境 有 关 的 设 定 


use_localtime=YES 


dirmessage_enable=YES 

xferlog_enable=YES 

connect_from_port_20=YES 

xferlog_std_format=YES 

listen=YES 

pam_service_name=vsftpd 

tcp_wrappers=YES 
banner_file=/etc/vsftpd/anon_welcome.txt <== 档 名 有 改 喔 ! 
[root@www ~]# /etc/init.d/vsftpd restart 

2. 建立 欢迎 画面 与 下 载 提示 讯 妃 


各 位 亲爱 的 观众 朋友 ! 要 注意 ~ 在 这 个 案例 当中 ， 我 们 将 欢迎 讯 奶 设 
定 在 


/etc/vsftpd/anon_welcome.txt 这 个 档案 中 ， 至 于 这 个 档案 的 内 容 你 可 以 
这 样 


写 (这 个 档案 一 定 要 存在 ! 否则 会 造成 客户 端 无 法 联机 成 功 喔 ! ): 
[root@www ~]# vim /etc/vsftpd/anon_welcome.txt 

欢迎 光临 本 站 所 提供 的 FTP 服务! 

本 站 主要 提供 Linux 操作 系统 相关 档案 以 及 GNU 目 由 软件 喔 ! 
有 问题 请 与 站 长 联络 ! 谢谢 大 家 ! 

主要 的 目录 为 : 

linux 提供 Linux 操作 系统 相关 软件 


net.giang@hotmail.com 

gnu 提供 GNU 的 自由 软件 

uploads 提供 匿名 的 您 上 传 数 据 

看 到 吵 ! 主要 写 的 数据 都 是 针对 一 些 公告 事项 束 是 了 |! 
3. 客户 端的 测试 : 密码 与 欢迎 讯息 是 重点 ! 

同样 的 ， 我 们 使 用 ftp 这 个 软件 来 给 他 测试 一 下 吧 ! 
[root@www ~]# ftp localhost 

Connected to localhost (127.0.0.1). 


220- 欢 迎 光 临 本 站 所 提供 的 FTP 服务 ! <== 改 下 这 几 行 中 文 就 古 欢 迎 
与 所 


示 讯 已 ! 

220- 本 站 主要 提供 Linux 操作 系统 相关 档案 以 及 GNU 目 由 软件 喔 ! 
220- 有 问题 请 与 站 长 联络 ! 谢谢 大 家 ! 

220- 主 要 的 目录 为 : 

220- 

220-linux 提供 Linux 操作 系统 相关 软件 

220-gnu 提供 GNU 的 自由 软件 

220-uploads 提供 匿名 的 您 上 传 数据 

220 


Name (localhost:root): anonymous <== 匿 名 账号 名 称 是 要 背 的 ! 


230 Login successful. <== 没 有 输入 密码 即 可 登入 呢 ! 
Remote System type is UNIX. 

Using binary mode to transfer files. 

ftp> dir 

227 Entering Passive Mode (127,0,0,1,196,17). 
150 Here comes the directory listing. 
drwxr-xr-x 2 0 0 4096 Aug 08 16:37 gnu 
-IW-I--I-- 1 0 0 17 Aug 08 14:18 index.html 
drwxr-xr-x 2 0 0 4096 Aug 08 16:37 linux 
drwxr-xr-x 2 0 0 4096 Jun 25 17:44 pub 

226 Directory send OK. 

ftp> bye 

221 Goodbye. 


看 到 否 ? 这 次 可 就 不 需要 输入 任何 密码 了 ， 因 为 是 匿名 登录 嘛 ! 而 
且 ， 如 采 你 以 


其 他 的 账号 来 尝试 登 和 时， 那么 vsftpd 会 立刻 响应 仅 开 放 匿 名 的 讯息 
喔 ! (530 


This FTP server is anonymous only.) 


0 


net.giang@hotmail.com 


让 匿名 者 可 上 传 /下 载 目 己 的 闹 料 (权限 开放 最 大 ) 


在 上 列 的 数据 当中 ， 实 际 上 匿名 用 户 仅 可 进行 下 载 的 动作 而 已 。 如 采 
你 还 想 让 匿名 


者 可 以 上 传 档案 或 者 是 建立 目录 的 话 ， 那 你 还 需要 额外 增加 一 些 设 定 
A 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 新 增 抵 下 这 几 行 啊 ! 

write_enable=YES 
anon_other_write_enable=YES 

anon_ mkdir write_enable=YES 
anon_upload_enable=YES 


[root@www ~]# /etc/init.d/vsftpd restart 


如 采 你 设 定 上 面 四 项 参数 ， 则 会 允许 匿名 者 拥有 完整 的 建立 、 删 除 、 
修改 档案 与 目录 的 


权限 。 不 过 ， 实 际 要 生效 还 需要 Linux 的 文件 系统 权限 正确 才 行 ! 我 
们 知道 匿名 者 


取得 的 屿 份 是 fp ， 所 以 如 采 想 让 匿名 者 上 传 数据 到 /var/ftp/uploads/ 
中 ， 则 需要 


这 样 做 : 
[root@www ~]# mkdir /var/ftp/uploads 


[root@www ~ 1]# chown ftp /var/ftp/uploads 


然后 你 以 匿名 者 里 份 登入 后 ， 就 会 发 现 匿 名 者 的 根 目录 多 了 一 个 
/upload 的 目录 存在 


了 ， 并 且 你 可 以 在 该 目录 中 上 传 档案 /目录 嘱 ! 如 此 一 来 系统 的 权限 大 
开 ! 很 要 命 嘱 ! 


所 以 ， 请 仔细 的 控制 好 你 的 上 传 目 隶 才 行 ! 


不 过 ， 在 实际 测试 当中 ， 却 发 现 还 是 没 办 法 上 传 呢 ! 怎么 回 事 啊 ? 如 
条 你 有 去 看 


下 /var/log/messages 的 话 ， 那 融会 发 现 啦 ! 又 是 SELinux 这 家 伙 呢 ! 
坊 类 办 2 视 


透 过 『 sealert -1 ... 」 在 /Var/log/messages 里 面 观察 到 的 指令 丢 进 去， 立 
刻 就 
XJ DL 


知道 解决 方案 啦 ! 解决 方案 束 是 放行 SELinux 的 匿名 FTP 规则 如 下 : 


[root@www ~]# setsebool -P allow_ftpd_anon_write=1 


[root@www ~]# setsebool -P allow_ftpd_full_access=1 


然后 你 再 测试 一 下 用 anonymous 登入 ， 到 /uploads 去 上 传 个 档案 吧 1 
就 会 知道 能 不 


能 成 功 哩 ! 
0 
让 匿名 者 仅 具 有 上 传 权限 ， 不 可 下 载 匿名 者 上 传 的 东西 


net.giang@hotmail.com 


一 般 来 说 ， 用 户 上 传 的 数据 在 管理 员 沿 未 查阅 过 是 否 合乎 版 权 等 相关 
事宜 剧 ， 和 是 不 


应 该 让 其 他 人 下 载 的 ! 然而 前 一 小 太 的 设 定 当 中 ， 用 户 上 传 的 资料 是 
可 以 被 其 他 人 所 


浏 蜗 与 下 载 的 ! 如 此 一 来 实在 是 很 危险 ! 所 以 如 果 你 要 设 定 
/varftp/uploads/ 内 透 


过 匿名 关上 传 的 数据 中 ， 仅 能 上 传 不 能 被 下 载 时 ， 那 么 被 上 传 的 数据 
的 权限 束 得 要 修改 


一 下 才 行 ! 请 将 前 一 小 节 所 设 定 的 四 个 参数 从 化 成 为 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 


# 将 这 几 行 给 他 改 一 改 先 ! 记得 要 拿 掉 anon_other_write_enable=YES 
write_enable=YES 

anon_ mkdir write_enable=YES 

anon_upload_enable=YES 

chown_uploads=YES <== 新 增 的 设 定 值 在 此 ! 
chown_username=daemon 


[root@www ~]# /etc/init.d/vsftpd restart 


当然 啦 ， 那 个 /var/ftp/uploads/ 还 是 需要 可 以 被 ftp 这 个 使 用 者 写 入 才 
1 


来 被 上 传 的 档案 将 会 被 修改 档案 拥有 者 成 为 daemon 这 个 使 用 者 ， 而 
ftp (匿名 者 取得 


的 号 份 ) 古 无 法 读 取 daemon 的 数据 的 ， 所 以 也 束 无 法 被 下 载 哆 ! 和 人 和 
例题 : 

在 上 述 的 设 定 后 ， 我 尝试 以 anonymous 登入 并 且 上 传 一 个 大 档案 到 
we 目 孙 下 。 由 于 网 络 的 问题 ， 这 个 档案 传 到 一 半 融 断 线 。 下 在 


4 


上 传 时 ， 却 告知 这 个 档案 无 法 复写 ! 该 如 何 是 好 ? 


ee 
改 关 


daemon 了 1! 因为 这 个 档案 不 属于 ftp 这 个 用 户 了 ， 因 此 我 们 无 法 进行 
覆 写 或 


删除 的 动作 。 此 时 ， 你 只 能 更 改 本 地 端 档案 的 档 名 再 次 的 上 传 ， 重 者 
从 头 一 直 


上 传 吧 ! 
0 
被 动 式 联机 坦 口 的 限制 


FTP 的 联机 分 为 主动 式 与 被 动 式 ， 主 动 式 联机 比较 好 处 理 ， 因 为 都 是 
透 过 服务 硕 的 


port 20 对 外 主动 联机 ， 所 以 防火 墙 的 处 理 比较 人 简单。 被 动 式 联机 整 比 
较 麻 烦 一 因为 


预 设 FTP 服务 器 会 随机 取 几 个 没有 在 使 用 当中 的 塌 口 来 建立 被 动 式 联 
机 ， 那 防火 墙 的 


设 定 就 矿 烦 啦 ! 
net.giang@hotmail.com 
人 


没 天 系 ， 我 们 可 以 透 过 指定 几 个 固定 施 围 内 的 塌 口 来 作为 FTP 的 被 动 
式 数 据 连 接 


之 用 即 可 ， 这 样 我 们 就 能 够 预先 知道 FTP 数据 链 路 的 埋 口 啦 ! 举例 来 
说 ， 我 们 假设 被 


动 式 连 接 的 起 口 为 65400 到 65410 这 几 个 塌 口 时 ， 可 以 这 样 设 定 : 
[root@www ~]# vim /etc/vsftpd/vsftpd.conf 

# 增加 底下 这 几 行 即 可 啊 ! 

pasv_min port=65400 

pasv_max_ port=65410 


[root@www ~]# /etc/init.d/vsftpd restart 


匿名 用 户 的 设 定 大 致 上 这 样 束 能 符合 你 的 需求 嗓 ! 其 他 的 设 定 就 目 己 
看 着 办 吧 ! 和信 


21.2.8 防火 播 设 定 
么 难 的 ? 将 第 九 曹 里面 的 script 拿 出 来 修改 即 可 啊 ! 不 


过 ， 如 疝 


前 言谈 到 的 ，FTP 使 用 两 个 坦 口 ， 加 上 常 有 随机 启用 的 数据 流 埋 口 ， 
以 及 被 动 式 联机 的 


服务 器 坦 口 等 ， 所 以 ， 你 可 能 得 要 进行 : 

加 入 iptables 的 ip_nat_ftp, ip_conntrack_ftp 两 个 模块 

上 开放 port 21 给 因特网 使 用 

0 开放 前 一 小 节 提 到 的 port 65400~65410 塌 口 给 Internet 联机 用 

要 修改 的 地 方 不 少 ， 那 就 让 我 们 来 一 步 一 脚印 吧 ! 

# a 虽然 iptables.rule 已 加 入 模块 ， 不 过 系统 档案 还 是 修改 


了 了 : 
[root@www ~]# vim /etc/sysconfig/iptables-config 
IPTABLES_ MODULES="ip_nat ftp ip_conntrack_ftp" 


# 加 入 模块 即 可 ! 两 个 模块 中 间 有 空格 键 隔 开 ! 然后 重新 启动 iptables 


服务 

H 罗 | 

[root@www ~]# /etc/init.d/iptables restart 

# 2. 修改 iptables.rule 的 脚本 如 下 : 

[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

iptables -A INPUT -p TCP -i $EXTIF --dport 21 --sport 1024:65534 -j 
ACCEPT 


# 找到 上 面 这 一 行 ， 并 将 前 面 的 批注 拿 掉 即 可 ! 并 且 新 增 底下 这 一 行 
喔 ， 


iptables -A INPUT -p TCP -i $EXTIF --dport 65400:65410 --sport 
net.giang@hotmail.com 

0 

1024:65534 -j ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 样 就 好 了 ! 同时 兼顾 主动 式 与 被 动 式 的 联机 ! 并 且 加 入 所 需要 的 
FTP 模块 中 |! 


21.2.9 常见 问题 与 解决 之 道 


底下 说 明 几 个 常见 的 问题 与 解决 之 道 吧 1 

吕 如果 在 Client 端 上 面 发 现 无 法 联机 成 功 ， 请 检查 : 

1. iptables 防火 墙 的 规则 当中 ， 是 否 开 放 了 client 端的 port 21 登 

入 ? 

2. 在 /etc/hosts.deny 当中 ， 是 否 将 client 的 登入 权限 挡住 了 ? 

3. 在 /etc/xinetd.d/vsftpd 当中 ， 是 否 设 定 错误 ， 导 致 dient 的 登 

入 权限 被 取消 了 ? 

上 如 采 Client 已 经 连 上 vsftpd 服务 器 ， 但 是 却 显示 『 XXX file can't be 
opend 4 的 字样 ， 请 检查 : 

1. 最 主要 的 原因 还 是 在 于 在 vsftpd.conf 当中 设 定 了 检查 某 个 档案 ， 

但 是 你 却 没 有 将 该 档案 设 定 起 来 ， 所 以 ， 请 检查 vsftpd.conf 里 面 所 有 
设 定 的 档案 档 名 ， 使 用 touch 这 个 指令 将 该 档案 建立 起 来 即 可 ! 

有 如 果 Client 已 经 连 上 vsftpd 服务 器 ， 却 无 法 使 用 某 个 账号 登入 ， 请 检 


1. 在 vsftpd.conf 里 面 是 否 设 定 了 使 用 pam 模块 来 检验 账号 ， 以 及 利 
用 userlist_file 来 管理 账号 ? 

2. 请 检查 /etc/vsftpd/ftpusers 以 及 /etc/vsftpd/user_list 档案 

内 有 是否 将 该 账号 写 入 了 ? 

吕 如 果 Client 无 法 上 传 档 案 ， 该 如 何 是 好 ? 

1. 最 可 能 发 生 的 原因 就 是 在 vsftpd.conf 里 面 忘 记 加 上 这 个 设 定 


『write_enable=YESJ 这 个 设 定 ， 请 加 入 ; 
2. 是 否 所 要 上 传 的 上 日 录 『 权 限 J 不对， 请 以 chmod 或 chown 来 修订 ; 


3. 是 否 anonymous 的 设 定 里 面 态 记 加 上 了 发 下 三 个 参数 : 


[| anon_other_write_enable=YES 


net.giang@hotmail.com 


0 
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[| anon_ mkdir write_enable=YES 

[| anon_upload_enable=YES 

4. 是 否 因为 设 定 了 email 抵挡 机 制 ， 又 将 email address 写 入 该 档案 
中 了 ! ? 请 检查 ! 

5. 是 否 设 定 了 不 许 ASCII 格式 传送 ， 但 Client 端 却 以 ASCII 传送 呢 ? 
请 在 client 端 以 binary 格式 来 传送 档案 ! 

6. 检查 一 下 /var/log/messages ， 是 否 被 SELinux 所 抵挡 住 了 呢 ? 


上 上 面 是 蛋 第 发现 的 错误 ， 如 来 还 古 无 法 解决 你 的 问题 ， 请 你 务必 分 析 
一 下 这 两 个 档 


案 : /var/log/vsftpd.log 与 /var/log/messages ， 里 面 有 相当 多 的 重要 资 
料 ， 可 以 


提供 给 你 进行 除 错 喔 ! 不 过 /var/log/vsftpd.log 却 预 设 不 会 出 现 ! 只 有 


/Var/log/xferlog 而 已 。 如 果 你 想 要 加 入 /var/log/vsftpd.log 的 支持 ， 可 以 
这 样 做 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
dual_log_enable=YES 
vsftpd_log _ file=/var/log/vsftpd.log 

# 加 入 这 两 个 设 定 值 即 可 吻 ! 

[root@www ~]# /etc/init.d/vsftpd restart 


这 样 示 来 有 新 联机 或 者 是 错误 时 ， 就 会 额外 写 一 份 /var/log/vsftpd.log 


去 喔 ! 

21.3 客户 端的 图 形 接口 FTP 联机 软件 

客户 端 文字 接口 的 ftp 及 lftp 这 两 支 指令 ， 详 细 的 使 
用 


i 说 明 。 至 于 Linux 底下 的 图 形 接口 软 
件 ， 可 以 参考 SEE 1 图 形 接口 的 啦 ! 很 简单 啊 ! 那 
Windows 底下 有 没有 相对 应 的 FTP 客户 端 

软件 ? 

21.3.1 Filezilla 


上 壕 的 软件 都 是 自由 软件 啊 ， 那么 Windows 操作 系统 有 没有 自由 软件 
啊 ” 有 的 ， 


你 可 以 使 用 和 名 ezilla 这 个 好 东西 ! 这 个 玩意 儿 的 详细 说 明 与 下 载 点 可 以 
在 底下 的 连 


结 找到 : 
说 明 网 站 :_http://filezilla.sourceforge.net/ 
0 下载 网 站 : 


net.giang@hotmail.com 


CEITOSIECEIETT 
| 鳃 - LSa 


未 到 镍 到 任何 伺服 器 


第 四 区 


目前 (2011/06) 最 新 的 稳定 版 本 是 3.5x 版 ， 所 以 底下 乌 哥 就 以 这 个 版 
本 来 跟 大 


家 说 明 。 为 什么 要 选择 Filezilla 呢 ? 除了 他 是 自由 软件 之 外 ， 这 家 伙 竟 
然 可 以 连结 


到 SSH 的 sftp 呢 ! 真是 很 不 错 的 一 个 家 伙 啊 ! 和 ^! 另外 要 注意 的 是 ， 
底下 乌 哥 是 以 


Windows 版 本 来 说 明 的 ， 不 要 拿 来 在 XX window 上 面 安 装 喔 ! 和 人 (请 下 
载 Filezilla 


client 不 是 server 喔 ! ) 


因为 这 个 程序 是 给 Windows 安装 用 的 ， 所 以 安装 的 过 程 束 是 ...( 下 一 
步 )An 束 好 


了 ! 并 且 这 个 程序 文 持 多 国语 系 ， 所 以 你 可 以 选择 繁体 中 文 呢 ! 实在 


是 很 棒 ! 安装 完 

毕 之 后 ， 请 你 执行 他 ， 就 会 出 现 如 下 的 画面 了 : 
图 21.3-1、Filezilla 的 操作 接口 示意 

上 图 的 第 一 、 二 到 五 区 的 内 容 所 代表 的 资料 是 : 


1. 第 一 区 : 代表 FTP 服务 器 的 输出 信息 ， 例 如 欢迎 讯 居 等 信息 ; 
2. 第 二 区 : 代表 本 机 的 文件 系统 目录 ， 与 第 三 区 有 关 ; 

3. 第 三 区 : 代表 第 二 区 所 选择 的 磁 副 内 容 为 何 ; 

4. 第 四 区 : 代表 远程 FTP 服务 器 的 目录 与 档案 ; 

5. 第 五 区 : 代表 传输 时 的 队列 信息 (等 每 传送 的 数据 ) 


而 另外 图 中 的 a, b,c 则 代表 的 是 : 


a. 站 台 管 理 员 ， 你 可 以 将 一 些 第 用 的 FTP 服务 紫 的 IP 与 用 户 信息 记录 
在 此 ; 


net.giang@hotmail.com 


选择 栏 位 (5S); 


, 一般 误 定 | 进 障 诉 定 | 传输 恋 定 | 宇 码 集 
中 我 的 站 台 | 


用 息 哥 的 区 扯 本 机 | : ”|192.168.100.254 | 连接 坊 (P): | 


| FTP - 档案 传输 协定 
| 加密 候 ) “| 使 用 纯粹 的 FTP 


登入 型 或 (LY | 一 般 
使 用 者 (UY) lanonymous 
密码 0; 六 玉 玉 玉米 冰冰 米 六 玉米 六 玉 玉 中 
帐 吃 (&); - 


址 解 民 )， 


b. 更 新 ， 如 果 你 的 资料 有 更 新 ， 可 使 用 这 个 按钮 来 同步 fjezilla 的 屏幕 


显 


c. 主机 地 址 、 用 户 、 密 码 与 端口 这 四 个 玩意 儿 可 以 实时 联机 ， 不 记录 


Fs 
信息 。 


好 ， 接 下 来 我 们 连接 到 FTP 服务 器 上面 去 ， 所 以 你 可 按 下 图 21.3-1 的 


a 部 分 ， 
会 出 现 如 下 画面 : 
图 21.3-2、Filezilla 的 FTP 站 台 管 理 员 使 用 示意 图 


上 图 的 箭头 与 相关 的 内 容 是 这 样 的 ; 


2 


方 框 ; 
2. 在 该 方 框 当中 随便 填写 一 个 你 容易 记录 的 名 字 ， 只 要 与 真正 的 网 站 
有 点 关连 


即 可 ; 

3. 接 下 来 看 到 右边 有 一 般 设 定 ， 在 一 般 设 定 里 面 儿 个 项 目 很 重要 的 : 
o 主机 : 在 这 个 方 框 中 填写 主机 的 卫 ， 端 口 如 果 不 是 标准 的 port 21 
才 填 写 其 他 塌 口 。 

o 协定 : 主要 有 (1)FTP 及 (2)SFTP (SSHD 所 提供 )， 我 们 这 里 选 FTP 


o 加密: 

是 否 有 网 络 加 密 ， 新 的 协议 中 ，FTP 可 以 加 上 TLS 的 FTPS 喔 ! 
预 设 为 明码 

0 登入 型 式 : 因为 需要 账号 密码 ， 选 择 『 一 般 了 即 可 ， 然 后 底下 就 是 输 
入 使 用 者 、 账 号 即 可 。 
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选择 柚 位 (5); 


由 我 的 站 台 
峰 息 哥 的 区 看 本 机 传 坦 模式 (U); 
图 预 起 人 E) 个 主动 模式 他 ) 被 动 模式 (P) 


| 口 限制 同时 溃 征 数 人) 
最 大 种 穆 数 (M): |】 | 


基本 上 这 样 设 定 完 就 能 够 连 上 主机 了 ， 不 过 ， 如 果 你 还 想 要 更 详细 的 
规范 数据 连接 


的 方式 (主动 式 与 被 动 式 ) 以 及 其 他 资料 时 ， 可 以 按 下 的 『 传 输 设 定 J 
按钮 ， 就 会 出 


现 如 下 画面 了 : 
图 21.3-3、Filezilla 站 合 管理 员 内 的 传输 设 定 


在 这 个 画面 当中 你 可 以 选择 是 否 使 用 被 动 式 传输 机 制 ， 还 可 以 调整 最 
大 联机 数 呢 ! 


为 什么 要 自我 限制 呢 ? 因为 Filezilla 会 主动 的 重复 建立 多 条 联机 来 快 
速 下 载 ， 但 如 


果 vsftpd.conf 有 限制 max_per ip 的 话 ， 某 些 下 载 会 被 拒绝 的 ! 因此 ， 
这 个 时 候 在 


此 设 定 为 1 就 显 的 很 重要 一 随时 只 有 一 文联 机 建立 ， 束 不 会 有 重复 登 
入 的 问题 ! 最 后 


请 按 下 图 21.3-2 画面 中 的 『 联 机 J 吧 ! 
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反 包 哥 的 区 三 本 摄 - anonymous@192.168.100.254 - FileZilla 回回 加 
档案 四 ”编辑 EB) 检视 (四 ”传输 中 ” 何 服 器 他 ” 书 菩 人 @) 就 明 辐 
通 ”上司 | 下 | 合 | 关 我 灌 台 埃 字 | 辕 碟 呈 的 
| | 便 用 者 名 略 (W); 更 三 ( 风 ) 乏 接 雹 ()， 快速 束 御 (Q) j |] 
同 认 ， ”220- 主 要 的 目 妖 态 
园 虚 ; 220- 

220Jinux 提供 Linux 作 尝 系统 相 归 软体 

220-gnu ”提供 GNU 的 自由 歌 钥 


习 [时 点 面 
七 护 扩 文件 
3 是 我 的 蕊 入 
NPC 
mn 
档案 名 称 / 档案 大 小 ”档案 类 别 二 档案 大 小 花 案 糊 别 最 后 修改 时 间 。 ” 栖 限 全 
pC: 本 杭 玫 下 区 
总 D: 光 既 柚 已 om 档案 窒 料 来 。 201162 下 午 1.， drwx 
lnuw 榨 案 资料 夹 。 201162 下 午 1.， drwx 
Drmb 榨 案 补 料 严 。 201162 下 午 1 dmwx 
meas 格 案 庆 权 杰 MM113 上 午 1 jimwx 
< 3 |< > 
2 个 目 笑 1 个 榕 案 愉 4 个 目 锋 . 纺 共 大 小 : 17 Byie 
伺服 器 /本 地 雁 案 方向 ”和 速 贞 区 案 大 小 ”优先 柱 。 的 所 


| 等候 的 栓 家 | 便 辆 天 由 | 伟 朝 成 功 “ 
£m 列 Gi ee@.:: 


人 
图 21.3-4、Filezilla 联机 成 功 示意 图 


更 多 的 用 法 就 请 你 上 自行 研究 咖 ! 
21.3.2 透 过 浏览 絮 取 得 FTP 联机 


机 这 个 协议 史 ! 这 个 协议 的 处 理 方式 可 以 在 网 址 列 的 地 方 这 样 输入 


L ftp://usermame@your_ip 


要 记得 ， 如 果 你 没有 输入 那个 username@ 的 字样 时 ， 系 统 默 认 会 以 匿 
名 登录 来 处 


理 这 次 的 联机 。 因 此 如 有 条 你 想 雪 使 用 实体 用 户 联 机 时 ， 吏 在 在 卫 或 主 
机 名 之 前 填写 


你 的 账号 。 举 例 来 说 ， 鸟 哥 的 FTP 服务 器 (192.168.100.254) 若 有 
dmtsai 这 个 使 用 


者 ， 那 我 局 动 浏 览 郁 后 ， 可 以 这 样 做 : 
0 ftp:/dmtsai@192.168.100.254 


然后 在 出 现 的 对 话 窗口 当中 输入 dmtsai 的 密码 ， 就 能 够 使 用 浏览 器 来 
管理 我 在 


FTP 服务 硕 内 的 文件 系统 哆 ! 是 否 很 容易 啊 甚至 ， 你 连 密码 都 想 要 写 
上 网 址 列 ， 那 整 


更 厉害 啦 ! 
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0 


DU ftp://dmtsai:yourpassword@192.168.100.254 
21.4 i 上 vsftpd 增加 SSL 的 加 密 功 能 


既然 http 部 有 https 了 ， 那 么 使 用 明码 传输 的 fp 有 没有 加 密 的 ftps 
呢 ? 吗 


嘿 ! 说 的 好 ! 有 的 啦 一 既然 都 有 openssl 这 个 加 密 函 式 库 ， 我们 当然 能 
够 使 用 类 似 的 


机 制 来 处 理 FTP 路 ! 但 前 提 之 下 是 你 的 vsftpd 有 文 持 SSL 画 式 库 才 
行 ! 此 外 ， 我 们 


也 必须 要 建立 SSL 的 凭证 档 给 vsftpd 使 用 ， 这 样 才 能 够 进行 加 密 嘛 ! 
了 解 平 ! 接 下 


来 ， 就 让 我 们 一 步 一 步 的 进行 ftps 的 服务 器 建 置 吧 ! 
UD 
1. 检查 vsftpd 有 无 文 持 ssl 模块 : 


如 琳 你 的 vsftpd 当初 编译 的 时 候 没 有 文 持 SSL 模块 ， 那 么 你 束 得 只 好 
自己 重新 


编译 一 个 vsftpd 的 软件 了 ! 我 们 的 CentOS 有 文 持 吗 ? 赶紧 来 瞧 瞧 : 
[root@www ~]# ldd $(which vsftpd) | grep ssl 

libssl.so.10 => /usr/lib64/libssl.so.10 (0x00007f0587879000) 

如 果 有 出 现 libssl.so 的 字样 ， 就 是 有 文 持 ! 这 样 才 能 够 继续 下 一 步 吻 ! 
0 

2. 建立 专门 给 vsftpd 使 用 的 凭证 数据 ; 


CentOS 给 我 们 一 个 建立 凭证 的 地 方 ， 那 就 是 /etc/pki/tls/certs/ 这 个 目 
录 ! 详 


细 的 说 明 我 们 在 20.5.2 里 面谈 过 咯 ， 所 以 这 里 只 介绍 怎么 做 : 


[root@www ~]# cd /etc/pki/tls/certs 


[root@www certs]# make vsftpd.pem 


----- …( 前 面 省 略 )..… 

Country Name (2 letter code) [XX]:TW 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 
Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, Section) []:DIC 

Common Name (eg, your name or your server's hostname) 
[J:www.centos.vbird 

net.giang@hotmail.com 

Email Address []:root(@Hwww.centos.vbird 

[root@www certs]# cp -a vsftpd.pem /etc/vsftpd/ 


[root@www certs]#] /etc/vsftpd/vsftpd.pem 


-TW-----— . 1 root root 3116 2011-08-08 16:52 /etc/vsftpd/vsftpd.pem 
# 要 注意 一 下 权限 喔 | 
0 


3. 修改 vsftpd.conf 的 配置 文件 ， 假 定 有 实体 、 匿 名 账号 : 
在 前 面 21.2 里 面 大 多 是 单纯 匿名 或 单纯 实体 帐户 ， 这 里 我 们 将 实体 账 


号 透 过 SSL 


联机 ， 但 匿名 者 使 用 明码 传输 ! 两 者 同时 提供 给 客户 端 使 用 啦 ! FTP 
的 设 定 项 目 主 要 


征 这 样 : 


0 提供 实体 账号 登入 ， 实 体 账号 可 上 传 数据 ， 且 umask 为 002 
0 实体 账号 默认 为 chroot 的 情况 ， 且 全 部 实体 账号 可 用 带宽 为 
1Mbytes/second 

0 实体 账号 的 登入 与 数据 传输 均 需 透 过 SSL 加 密 功 能 传送 ; 


0 提供 匿名 登录 ， 匿 名 者 仅 能 下 载 ， 不 能 上 传 ， 且 使 用 明码 传输 (不 透 
过 SSL) 


此 时 ， 整 体 的 设 定 值 会 有 点 像 这 样 : 


[root@www ~]# vim /etc/vsftpd/vsftpd.conf 
# 实体 账号 的 一 般 设 定 项 目 : 


local_ enable=YES 


write_enable=YES 

local_umask=002 
chroot_local_user=YES 
chroot_list_enable=YES 
chroot_list_file=/etc/vsftpd/chroot_list 
local_ max_rate=10000000 

# 匿名 者 的 一 般 设 定 : 
anonymous_enable=YES 
no_anon_password=YES 


anon max rate=1000000 


data_connection_timeout=60 

idle_session timeout=600 

# 针对 SSL 所 加 入 的 特别 参数 ! 每 个 项 目 都 很 重要 ! 
ssl_enable=YES <== 启 动 SSL 的 文 持 

allow_anon_ssl=NO <== 但 是 不 允许 匿名 者 使 用 SSL 喔 ! 
net.giang@hotmail.com 

force_local_data_ssl=YES <== 强 制 实 体 用 户 数 据 传输 加 密 
force_local_logins_ssl=YES <== 同 上 ， 但 连 登 入 时 的 帐 窗 也 加 密 
ssl_tlsv1=YES <== 支 持 TLS 方式 即 可 ， 确 下 不 用 局 动 
ssl_sslv2=NO 

ssl_sslv3=NO 

rsa_cert_file=/etc/vsftpd/vsftpd.pem <== 预 设 RSA 加 密 的 凭证 档案 所 在 
# 一 般 服 务 器 系统 设 定 的 项 目 : 

max_clients=50 

max_per_ ip=5 

use_localtime=YES 

dirmessage_enable=YES 

xferlog_enable=YES 

connect_from_port_20=YES 


xferlog_std_format=YES 


listen=YES 

pam_service_name=vsftpd 
tcp_wrappers=YES 

banner file=/etc/vsftpd/welcome.txt 
dual_log_enable=YES 
vsftpd_log _ file=/var/log/vsftpd.log 
pasv_min port=65400 
pasv_max_port=65410 

[root@www ~]# /etc/init.d/vsftpd restart 
0 

4. 联机 测试 看 看 ! 使 用 Filezilla 联机 测试 : 


接 下 来 我 们 利用 fiezilla 来 说 明 一 下 ， 如 何 透 过 SSL/TLS 功能 来 进行 联 
机 加 密 。 


很 简单 ， 只 要 在 站 台 管 理 员 的 地 方 选择 : 


net.qiang@Ohotmail.com 


站 人 台 管 理 忌 


i ws); EC = = 
ee | 一般 误 定 | 进 障 屋 定 | 传 翰 识 定 | 宇 码 集 | 
四 息 哥 的 区 桐 本 机 主机 (HH); “|192.168,100.254 | 连接 者 (PE); | | 


协定 ( 工 ); |FTP - 榆 案 传输 协定 
加 密 {E); 需要 活 过 站 是 忒 TLS 的 FTP 


登入 型 式 (L); | 一 般 
使 用 者 (UY); student 
帐号 (A); 


广 解 (u)， 


新 增资 料 严 人 F) 
EE 


图 21.4-1、 透 过 Filezilla 联机 到 SSL/TLS 支持 的 FTP 方式 


如 上 图 所 示 ， 重 点 在 箭头 所 指 的 地 方 ， 需 要 透 过 TLS 的 加 密 方式 才 
人 


哥 笑 试 使 用 student 这 个 一 般 账号 登入 系统 ， 联 机 的 时 候 ， 应 该 会 出 现 
如 下 的 图 示 才 


对 : 
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i 过 从 伺服 器 的 沉 改 个 明 , 请 留心 测试 沁 座 以 确保 伺服 器 可 以 信任 ， 


详细 内 容 

有 效 全; 2011/613 
有 效 至 ， 2012/6/2 
浙 误 序 就 ， 00 


公开 金竹 演算 法 :RSA with 1024 bits 
数位 指 禾 (MiD5); cf: 伯 :73: 休 :35;80;18:01:33;26:76;97: 介 ;3c: 亿 :29 
数位 指 禾 【SHA-1)': ce:9f:b9;bb:b8;30:;82;db:6b:21;a6:dc:33:a5;a4:98;cf:07;30:;el 


遥 改 主体 须发 登 行 者 

遥 避 名 得 ;www,centos,vbird 涯 证 名 萎 ; www,centos,ybird 

组 织 ; KSU 组 猴 ; KSU 

单位 ;DIC 单位 DIC 

国家 ， TW 国家 ， TW 

州 郡 省 份 ; Taiwan 州 郡 省 份 :Taiwan 

城市 名 ; Tainan 城市 名 : Tainan 

电子 邮件 ; root 务 www,centos,ybird 电子 邮件 ; root 各 www,centos,ybird 
连 贸 组 节 


主楼 : 192.168.100,254;21 
Cipher: 3DES-CBC 
MAC SHAl 


Se 下 


ia 机 


确认 取消 


0 


图 21.4-2、 透 过 Filezilla 是 否 接受 凭证 呢 ? 


如 琳 一 切 都 没有 问题 ， 那 么 你 可 以 扣 选 上 图 那个 『 忌 古 信任 4 的 项 
目 ， 如 此 一 来 ， 


未 来 联机 到 这 个 地 方 就 不 会 再 次 要 你 确认 凭证 啦 ! 很 简单 的 解决 了 
FTP 联机 加 密 的 问 


题 咖 ! 入 和 
例题 : 


想 一 想 ， 既 然 有 了 SFTP 可 以 进行 加 密 的 FTP 传输 ， 那 为 何 需 要 ftps 


呢 ? 
答 : 
因为 既然 要 开放 SFTP 的 话 ， 束 得 要 同时 放行 sshd 亦 即 是 ssh 的 联机 ， 
如 此 一 来 ， 你 的 port 22 很 可 能 会 常常 被 侦 测 一 奉 是 openssl, openssh 出 


问题 ， 优 怕 你 的 系统 忠 会 被 变 架 。 如 末 你 的 FTP 真 的 有 必要 存在 ， 那 


ftps 以 及 利用 vsftpd 这 个 较为 安全 的 服务 紫 软 件 来 架设 ， 理 论 上 ， 是 要 
比 


sftp 来 的 安全 些 一 至 少 对 Internet 放行 ftps 还 不 会 觉得 很 可 人 .… 


21.5 重点 回顾 
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DEFTP 是 文件 传输 协议 (File Transfer Protocol) 的 人 简写， 主要 的 功能 是 进 
行 服务 絮 与 客户 端的 档案 管理 、 传 输 等 事项 ; 


DEFTP 的 服务 器 软件 非常 多 ， 例 如 Wu FTP, Proftpd, vsftpd 等 等 ， 各 种 
FTP 


服务 器 软件 的 发 展 理念 并 不 相同 ， 所 以 选择 时 请 依照 你 的 需求 来 决定 
所 需要 的 


软件 ; 
0 FTP 使 用 的 是 明码 传输 ， 而 过 去 一 些 FTP 服务 器 软件 也 曾 被 发 现 安 


全 漏洞 ， 


因此 设 定 前 请 确定 该 软件 已 是 最 新 版 本 ， 避 免 安 全 议题 的 衍生 ; 


0 由 于 FTP 征明 码 传输 ， 其 实 可 以 使 用 SSH 提供 的 sftp 来 取代 FTP ; 
“60 FTP 服务 器 软件 都 提供 chroot 的 功能 ， 将 实体 用 户 限制 在 
由 芯 


家 目 邓 内 ; 


0 FTP 这 个 daemon 所 开局 的 正规 塌 口 为 20 与 21 ， 其 中 21 为 命令 通 
EE 


20 为 主动 联机 的 数据 传输 信道 ; 
0 FTP 的 数据 传输 方式 主要 分 为 主动 与 被 动 (Passive, PASV)， 如 果 十 主 
动 的 


话 ， 则 ftp-data 在 服务 器 端 主动 以 port 20 连接 到 客户 端 ， 否 则 需 开 放 
被 动 


式 监听 的 井口 等 得 客户 并 来 连接 ; 
0 在 NAT 主机 内 的 客户 端 FTP 软件 联机 时 可 能 发 生 困扰 ， 这 可 以 透 过 
iptables 的 nat 模块 或 利用 被 动 式 联机 来 元 服 ; 


0 一 般 来 说 ， FTP 上 面 共有 三 个 群 组 ,分 别 是 实体 用 户 、 访 客 与 匿名 
登录 者 


(real, guest, anonymous); 


0D 可 以 厌 由 修改 /etc/passwd 里 面 的 Shell 字段 ， 来 让 使 用 者 仅 能 使 用 
FTP 


而 无 法 登入 主机 .; 
0 FTP 的 指令 、 与 用 户 活 动 所 造成 的 登录 档 是 放置 在 /var/log/xferlog 里 
面 ; 


为 专注 在 安全 议题 上 而 发 展 的 一 套 FTP 服务 部 软件 ， 他 的 配置 


在 /etc/vsftpd/vsftpd.conf 

21.6 本 章 习题 

DEFTP 在 建立 联机 以 及 数据 传输 时 ， 会 建立 哪些 联机 ? 

需 建 立 两 种 联机 ， 分 别 是 命令 信道 与 数据 传输 信道 。 在 主动 式 联 机 上 


为 port 


21(ftp) 与 port 20(ftp-data) ° 
0 FTP 主动 式 与 被 动 式 联机 有 何不 同 ? 
主动 式 联机 的 时 候 ， 命 令 联 机 是 由 client 端 主动 连接 到 服务 慷 端 ， 但 是 


ftp-data 则 是 由 服务 硕 端 主动 的 联机 到 client 只 。 人 至 于 被 动 式 联机 的 时 
候 ， 


则 不 论 command 还 是 ftp-data 的 联机 ， 服 务 怖 端 都 是 监听 客户 端的 要 
求 的 ! 


DD 有 哪些 动作 可 以 让 你 的 FTP 主机 更 为 安全 (secure) ? 
o 随时 更 新 服务 器 软件 到 最 新 版 本 ; 
0 让 guest 与 anonymous 的 家 目录 限制 在 固定 的 目录 中 (chroot 或 


是 restricted); 
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0 


o 拒绝 root 的 登入 或 者 其 他 系统 账号 的 登入 ; 


o 拒绝 大 部 分 的 upload 行为 ! 

0 我 们 知道 ftp 会 启用 两 个 ports ， 请 问 这 两 个 port 在 哪里 规范 的 (以 
vsftpd 为 例 )? 而 且 ， 一般 正规 的 port 是 几 号 ? 

0D 若 为 stand alone 时 ， 都 是 由 vsftpd.conf 规范 ， 命 令 通道 为 
listen_port=21 规范 ， 数 据 连接 为 connect_from_port_20=YES 及 
pasv_max_port=0, pasv_max_port=0 所 规范 。 

若是 super daemon 所 管理 时 ， 命 令 信道 则 由 /etc/services 所 规范 了 。 
0 那 几 个 档案 可 以 用 来 抵挡 类 似 root 这 种 系统 账号 的 登入 FTP? 

0 /etc/vsftpd/ftpusers 

/etc/vsftpd/user_list 

吕 在 FTP 的 server 与 client 端 进行 数据 传输 时 ， 有 哪 两 种 模式 ? 为 何 这 
两 种 模式 影响 数据 的 传输 很 重要 ? 

ea ASCII 与 Binary 两 种 方式 ， 在 进行 ascii 传送 方式 时 ， 
传送 的 档案 将 会 以 文本 模式 来 进行 传送 的 行为 ， 因 此 ， 档 案 的 属性 会 
被 修改 过 ， 


可 能 造成 执行 档 最 后 却 无 法 执行 等 的 问题 ! 一 般 来 说 ，ASCII 通常 仅 用 
在 文本 文 


件 与 一 些 原始 码 档案 的 传送 。 
0 我 的 主机 明明 时 区 设 定 没有 问题 ， 但 为 何 登入 vsftpd 这 个 FTP 服务 
时 ， 


时 间 就 是 少 八 小 时 ? 该 如 何 解 决 ? 


0 肯定 是 时 区 方面 出 了 问题 ， 应 该 束 是 vsftpd.conf 里 面 少 了 
『 use_localtime=YES J」 这 个 参数 了 。 
21.7 参考 数据 与 延伸 阅读 


D vsftpd 官方 网 站 :_http://vsftpd.beasts.org/ 


DU man 5 vsftpd.conf 

D Filezilla 官方 网 站 :_http://filezilla.sourceforge.net/ 

0 vsftpd + ssl 功能 : 

http://wiki.vpslink.com/Configuring_vsftpd_for secure connections %28 
TLS/SSL/SFTP%29 

D http:/beginlinux.com/blog/2009/01/secure-ftp-with-ssl-on-centos/ 
2003/09/03: 首次 完成 2003/09/04: 加 入 FTP 服务 器 软件 的 选择 建 认 
2006/12/19: 将 旧 的 文章 移动 到 此 人 处， 并 请 自行 参考 wu-ftp, proftpd 等 


服务 ! 


2006/12/20: 将 分 散在 各 处 的 FTP 原则 说 明 完 毕 ， 也 更 新 完毕 嘿 ~ 疲劳 


A 


2011/05/28: 将 旧 的 基于 CentOS 4.x 的 文章 移动 到 此 处 
2011/06/04: 加 入 了 ftps 的 SSL 联机 加 密 机 制 ! 
2011/08/08: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
net.giang@hotmail.com 

第 二 十 二 章 、 邮 件 服务 器 : Postfix 

最 近 更 新 日 期 : 2011/08/10 


在 这 个 邮件 服务 妖 的 架设 中 ， 我 们 首先 谈论 Mail 与 DNS 的 重要 相关 
性 ， 然 后 依 序 介绍 Mail Server 的 


相关 名 词 ， 以 及 Mail Server 的 运作 基本 流程 与 协议 ， 也 会 谈 到 相关 的 
Relay 与 邮件 认证 机 制 等 项 目 ， 


这 些 项 目 对 于 未 来 邮件 服务 器 的 管理 与 设 定 是 重要 的 ， 请 不 要 忽略 了 
这 方面 问题 的 讨论 喔 。 由 于 


Postfix 的 配置 文件 内 容 较 具 有 杀 和 性 ， 因 此 我 们 单纯 介绍 了 Postfix 不 


再 介绍 sendmail 了 。 


22.1 由 务 器 的 功能 与 运 于 


22.1.1 由 和 功能 与 问题 


22.1.2 Mail server 与 DNS 之 间 的 关系 


22.1.3 邮件 传输 所 需要 的 组 件 (MTA, MUA, MDA) 以 及 相关 协议 
22.1.4 定时 服务 器 端 所 提供 的 相关 协议 : MRA 


22.1.5 Relay 与 认证 机 制 的 重要 性 
22.1.6 邮件 的 净 容 

22.2 MTA 服务 器， Postfix 基础 设 定 
22.2.1 Postfix 的 开发 

22.2.2 所 需要 的 软件 与 软件 结构 


22.23 一 个 由 务 器 的 设 定 案 你 


22.2.4 计 Postfix 可 监听 Internet 来 收发 信件 : 直接 看 范 僧 


22.4.1 Linux mail 


22.4.2 Linux mutt 


net.giang@hotmail.com 


22.8 参考 数据 与 延伸 阅读 
22.9 针对 本 文 的 建议 :http:/phorum.vbird.org/viewtopic.php?p=117550 
22.1 邮件 服务 句 的 功能 与 运作 原理 


ee L? 它 是 利用 网 络 传递 一 些 信 息 给 远程 服务 名 的 
一 站 言 屿 专 


递 行为， 虽然 少 妃 正 文 是 很 冷 很 硬 的 计算 机 文字 ， 确实 比 不 上 手写 信 
件 来 的 让 人 觉得 


温暖 ， 不 过 ， 对 于 具有 时 效 性 的 信息 来 说 ， 电 子 邮 件 可 是 个 不 可 多 得 
的 好 帮手 ! 但 是 ， 


电子 邮件 系统 道 勃 发 展 的 现在 却 被 茶 些 少 部 分 的 特定 人 士 所 乱用 ， 导 
致 垃圾 信件 、 色 情 


广告 信件 等 等 的 沁 滥 ! 真是 啊 ~ 伤 脑筋 于 故 下 我 们 就 先 来 谈 一 谈 这 个 
电子 邮件 相关 的 


功能 吧 ! 


Tips: 
时 至 今日 ，Google 与 几 个 大 型 的 网 络 公司 都 有 提供 免费 或 者 是 付费 


的 邮件 服务 器 ， 其 中 ， 人 免费 的 电子 邮件 账号 甚至 已 经 提供 高 达 数 个 
GB 的 邮件 储存 量 ! 对 于 一 般 用 户 来 说 真是 非常 够 用 了 ! 因此 ， 除 非 
必要 ， 现 在 我 们 都 『 不 建议 您 架设 mail serverJ 的 ! 因为 玩 过 邮 
件 主 机 的 朋友 痢 很 清楚 ， 在 现在 的 环境 当中 想 要 搞定 Mail server 
是 很 难 的 一 件 事情 ， 除 了 目前 网 络 社会 的 广告 信 、 垃 圾 信 、 病 毒 信 
实在 是 多 的 不 象 话 ， 所 以 各 主要 的 ISP 对 于 邮件 控 管 上 面 越 来 越 严 
格 ， 而 且 基 本 功 当 中 的 mail vs. DNS 相关 性 又 太 高 ! 很 难 理解 ~ 
22.1.1 电子 邮件 的 功能 与 问题 


在 目前 的 社会 当中 ， 没 有 电子 邮件 (e-mail) 似乎 是 变 奇 怪 的 一 件 事 ! 可 
以 说 ， 现 


在 e-mail 已 经 成 为 一 个 很 普 壳 的 人 与 人 之 间 的 沟通 管道 了 ， 电 子 邮 件 
可 以 很 快速 的 


帮 你 将 文件 或 讯 轧 传送 到 地 球 上 的 任何 一 个 有 网 络 存在 的 角落 ， 当 
然 ， 你 也 可 以 在 任 


何 有 网 络 的 地 方 ， 连 上 Internet 去 收取 你 的 信件 ! 


不 过 ,遗憾 的 是 ， 只 要 是 有 人 类 的 地 方 ， 就 会 有 很 多 你 意 想 不 到 的 事 
情 会 出 现 了 ， 


当然 e-mail 也 不 例外 ， 怎 么 说 呢 ? 我 们 来 慢 慢 的 分 析 一 下 电子 邮件 产 
生 的 一 些 问 题 


吧 . 
0 夹 市 病毒 的 电子 邮件 问题 ; 


你 可 以 常常 昕 到 电子 邮件 可 能 夹带 病毒 对 吧 ! 没 错 ， 利 用 电子 邮件 以 
及 人 们 对 于 


电子 邮件 的 漫不经心 的 态度 ， 使 得 以 电子 邮件 为 媒介 的 计算 机 病毒 更 
容易 『 深 


入 人 群 当中 呐 ! 
0 怪 客 透 过 邮件 程序 入 侵 : 


ee 
客 软 


(Cracker) 残 可 以 取得 使 用 者 在 利用 e-mail 传送 过 程 当 中 所 输入 的 账号 


与 密 


码 ， 若 经 过 分 析 之 后 ， 还 可 能 破解 对 方 的 邮件 主机 ~ 哇 ! 真是 乱 可 怕 
一 把 的 ! 
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0 广告 信和 与 垃圾 信 等 : 


这 个 可 说 是 目前 各 大 ISP 心中 永远 的 痛 一 这 些 垃 圾 信件 可 以 占 掉 很 多 
那 少 的 可 


怜 的 带宽 ， 使 得 正常 用 户 连 接 速 度 与 质量 下 降 ， 更 可 能 造成 网 络 的 停 
顿 ~ 全 当然， 


常 第 收 到 垃圾 信件 的 你 ， 大 概 也 不 好 过 吧 | 
0 主机 被 大 量 不 明 信 件 塞 爆 : 


万 一 你 没有 将 邮件 服务 器 设 是 好 ， 嘿 嘿 ! 送信 者 可 以 藉 由 你 主机 收 信 
的 功能 ， 发 


送 大 量 的 信件 ， 让 你 『 一 次 收 个 够 ! J 灌 爆 你 的 服务 器 硬盘 ， 想 要 不 
当 机 都 粉 


难 一 
0 真实 社会 的 讨 大 情事 : 


『【 黑 画 4 ! 听 到 会 不 会 很 害怕 ? 当然 很 害怕 啦 ! 偏偏 使 用 e-mail 吏 可 
以 作 很 多 


的 坏事 一 这 真是 太 不 道德 了 一 
0 不 实 的 信件 内 容 : 


只 要 注意 到 消 基 会 的 讯息 束 可 以 知道 啦 ， 不 明 来 源 的 电子 邮件 说 的 内 
容 ， 不 要 轻 


易 的 相信 ! 因为 很 多 可 是 以 率 传 话 ， 结 果 ， 大 家 都 个 可 了 的 一 例如 ， 
你 的 朋友 


收 到 一 封 信 ， 认 为 『 哇 ! 这 是 大 事情 4 ， 所 以 在 没有 求证 的 情况 下 ， 
将 信 『 转 


Ne 
Hj， ls 


再 地 循环 ， 嘿 嘿 ! 这 个 错误 内 容 的 讯 上 野马 上 就 让 大 家 知道 ， 更 可 怕 的 
征 『 还 会 

让 大 家 接受 ~ 所 以 ， 看 到 任何 讯息 时 ， 请 千 万 要 记得 求证 一 下 呐 ! 
可 怕 吧 ! 电子 邮件 会 衍生 出 这 么 多 的 问题 说 一 故 外 ， 这 个 email 服务 大 
的 设 定 与 


管理 真 的 是 网 管 人 员 心中 永远 的 痛 ! 为 什么 呢 ? 因为 人 都 是 想 要 越 便 
利 越 简单 越 好 ， 


但 越 便 利 越 不 管制 的 邮件 服务 内 束 越 容易 被 攻击 或 遭 利用 ! 反 过 来 
说 ， 如 有 果 你 针对 邮 


件 服务 右 管 得 太 闫 厉 ， 那 束 不 太 人 性 化 ， 相 信和 至 少 您 的 主管 可 能 开 不 
太 满 意 ， 怎 么 办 ? 


呵呵 ! 没 错 啦 ! 邮件 服务 器 束 是 这 么 回 事 ， 让 人 又 爱 又 人 的 一 个 玩意 
儿 ， 岳 定 他 ， 


茶 喜 您 啊 一 切 顺 利 圆满 ! 搞 不 定 人 他， 服务 紫 补 当成 垃圾 信件 转运 站 事 
小 ， 丢 挥 工作 那 


可 是 『 兹 事 体 大 J 哆 ! 束 因 为 他 是 这 么 重要 又 难以 搞定 ， 所 以 我 们 可 
得 好 好 的 学 学 他 


只 1 
22.1.2 Mail server 与 DNS 之 间 的 关系 


既然 要 使 用 e-mail ， 当 然 束 需要 邮件 服务 器 鹃 (Mail Server) ! 不 然 你 的 
信和 要 皇 


样 寄 出 去 呢 ? 事实 上， mail server 的 原理 说 难 不 难 ， 但 是 说 简单 吗 ~ 
似乎 又 有 点 难 


以 理解 于 ， 所 以 ， 的 下 我 们 要 来 谈 一 谈 他 的 原理 部 分 ， 然 后 再 针对 服 
务 絮 的 设 定 来 进 


行 说 明 咯 ! 我 们 首先 要 讲 的 就 是 『 Mail server 系统 与 DNS 系统 有 什么 
关连 性 ? 4 这 


个 部 分 新 手 最 容易 被 搞 混 哩 ， 是 否 要 架设 mail server 就 『 答 命 」 的 一 
定 得 架设 DNS 


server 在 你 的 主机 上 面 吗 ? 
0 
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Mail server 与 合法 的 主机 名 


事实 上 目前 已 经 没有 人 会 使 用 耳 来 寄 信 了 ， 我 们 通 香 接 收 到 的 email 
都 是 使 用 


[账号 @ 主 机 名 J 的 方式 来 处 理 的 ， 所 以 说 ， 你 的 邮件 服务 融 『 束 一 
定 要 有 一 个 合法 注 


册 过 的 主机 名 J 才 可 以 。 为 什么 昵 ? 因为 网 络 恶 意 使 用 与 垃圾 邮件 泛 
滥 的 种 种 因素 ， 


导致 我 们 不 允许 直接 利用 主机 的 IP 来 寄 信 了 ， 否 则 每 部 有 IP 的 主机 都 
能 寄 信 ... 


此 ， 你 想 要 架设 mail server 就 [必需 合法 的 主机 名 喝 。 


OK! 既然 我 只 要 一 个 合法 的 主机 名 即 可 ， 那 么 表示 我 不 需要 架设 一 
DNS 主机 嗓 ? 


是 的 ， 你 可 以 这 样 认为 ! 只 要 你 拥有 合法 的 主机 和 名 ， 亦 即 在 DNS 的 查 
询 系统 当中 你 的 


主机 名 拥有 一 个 A 的 标志 ， 理论 上 你 的 mail server 束 可 以 染 设 成 功 。 
只 不 过 由 于 


目前 因特网 上 面 的 广告 信 、 垃圾 信 与 病毒 信 等 占用 了 太 多 的 市 完 ， 导 
致 整个 网 络 社会 


花费 过 多 的 成 本 在 消耗 这 些 垃 圾 资料 。 所 以 为 了 杜绝 可 恶 的 垃圾 信 
件 ， 目 前 的 大 型 网 


如 代入 商 都 会 针对 不 明 来 源 的 邮件 加 以 限制 ， 这 也 就 是 说 『 想 要 
染 设 一 部 简 


可 以 运作 的 mail server 越 来 越 难 了 」。 
DNS 的 反 解 也 很 重要 ! 


对 于 一 般 的 服务 器 来 说 ， 我 们 只 要 使 用 正解 让 客户 端 可 以 正确 的 找到 
我 们 服务 右 的 


IP 即 可 架 站 ， 举 例 来 说 WWW 服务 右 束 古 这 样 。 不 过 ， 由 于 目前 收 信 
闯 的 邮件 服务 郁 会 


针对 邮件 来 源 的 卫 进行 反 解 ， 而 如 果 你 的 网 络 环境 是 由 拨 接 取得 非 
定 的 IP 时 ， 该 


种 IP 在 ISP 方面 通常 会 主动 的 以 xxx.dynamic.xxx 之 类 的 主机 名 来 管 
理 ， 偏 偏 这 样 


的 主机 名 会 被 主要 的 大 型 邮件 服务 右 (例如 hotmail, yahoo 等 ) 祝 为 垃圾 
信件 ， 所 


以 你 的 邮件 服务 右 所 发 出 的 信件 将 可 能 被 丢弃 ， 那 可 束 伤 脑筋 了 1! 


所 以 啊 ， 如 果 你 想 要 架设 一 部 Mail server 的 话 ， 请 工务 必 了 4 向 您 的 上 
层 ISP 申 


请 JP 反 解 的 对 应 ， 不 要 再 使 用 预 设 的 反 解 主机 名 ， 人 否则 很 容易 导致 您 
的 邮件 服务 天 


所 发 出 的 信件 会 在 Internet 上 面 流浪 啊 ! 


Tips: 
其 实 你 还 是 可 以 不 用 申请 IP 的 反 解 ， 不 过 束 得 要 利用 所 谓 的 
relayhost 或 者 是 smarthost 来 处 理 邮 件 转 递 的 问题 ， 这 个 部 分 


又 涉及 到 上 层 ISP 的 问题 ， 挺 复杂 ! 我 们 会 在 后 续 作 说 明 ! 


0 
需要 DNS 的 MX 及 A 标志 啊 (超重 要 的 MX)! 


那么 我 们 的 邮件 服务 紫 系 统 到 底 是 如 何 使 用 DNS 的 信息 来 进行 邮件 的 
传递 的 ? 还 


记得 在 十 九 章 DNS 里 面谈 到 的 MX 这 个 标志 吗 ? 当时 我 们 仅 说 过 这 个 
MX 代表 的 是 
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Mail eXchanger， 当 一 封 邮 件 要 传送 出 去 时 ， 邮 件 主 机 会 先 分 析 那 封 信 
的 『 目 标 主 机 


的 DNS 4 ， 先 取得 MX 标志 (注意 ，MX 标志 可 能 会 有 多 部 主机 喔 ) 然 
后 以 最 优先 MX 主 


机 为 准将 信 发 送出 去 。 看 不 懂 吗 ? 没关系 ， 我 们 以 展 下 这 个 DNS 范例 
来 说 : 


Xxyz.com.vbird IN MX 10 mail.xyz.com.vbird 

Xxyz.com.vbird IN MX 20 mail2.xyz.com.vbird 

Xxyz.com.vbird IN A aaa.bbb.ccc.ddd 

假如 上 述 的 DNS 设 定 是 正 肖 的 ， 那 么 : 

> 一 封 信 要 传 给 user@xyz.com.vbird 上 时， 由 于 MX 标志 最 低 者 优 


以 该 封 信 会 先 传送 到 mail.xyz.com.vbird 那 部 主机 。 


0 如 有 果 mail.xyz.com.vbird 由 于 种 种 原因 ， 导 致 无 法 收 下 该 封 信 时 ， 该 
封 信 


将 以 次 要 MX 主机 来 传送 ， 那 就 是 传送 到 mail2.xyz.com.vbird 那 部 主 
机 上 头 ; 


0 如 果 两 部 MX 主机 都 无 法 负责 的 话 ， 那 么 该 封 信 会 直接 以 A 的 标 
志 ， 亦 即 


直接 传送 到 aaa.bbb.ccc.ddd 那个 IP 上头 去 ， 世 束 是 xyz.com.vbird 本 刁 
啦 | 
在 这 个 过 程 当 中 ， 你 必需 要 注意 到 : mail.xyz.com.vbird 及 


mail2.xyz.com.vbird 


必需 要 是 可 以 帮 xyz.com.vbird 转 信 的 主机 才 行 ， 也 就 是 说 ， 那 两 部 主 
机 通常 是 你 公 


ee 
六 小 中 


xyz.com.vbird 来 设 定 『 邮 件 转 递 4 才 行 ! 否则 你 的 信 会 被 喝 挥 的 。 
由 于 现在 的 很 多 邮件 服务 融会 去 搜寻 MX 这 个 标志 来 判断 目标 邮件 服 


BH 日 不 > 
务 髓 是 否 为 


合法 ， 所 以 你 要 架设 Mail server 虽然 不 必 目 行 设 定 DNS 服务 右 ， 不 过 
你 最 好 要 申请 


一 个 MX 的 标志 才 行 。 此 外 ，MX 标志 一 定 要 设 定 正 确 ， 人 否则 你 的 信 
件 将 可 能 会 直接 被 MX 


服务 占 跑 挥 。 为 了 要 设 定 MX 但 是 我 们 没有 上 层 邮 件 服务 器 时 ， 所 以 
你 可 以 指定 MX 为 


自己 ， 利 用 上 自己 当 MX 服务 器 即 可 。 


那么 你 或 许 会 想 ， 这 个 MX 有 险 好 处 啊 ? 一 般 来 说 ， 如 有 果 目 标 主机 挂 
所 时 ， 你 的 昌 


件 通 常会 直接 退还 给 原 发 信者 ， 但 如 果 有 MX 主机 时 ， 这 部 MX 主机 
会 先 将 该 封 信 帮 


在 他 的 队列 (queue) 当中 ， 等 到 你 的 目标 主机 重新 提供 邮件 服务 后 ， 
MX 主机 会 将 你 


的 信件 传送 给 目标 主机 ， 如 此 一 来 你 的 信件 束 比 较 不 会 着 失 啊 ! 这 样 
说 ， 您 可 以 了 解 吧 


和 人 和 


吕 
Email 的 地 址 写法 


I email 通常 古 『 账 号 @ 主 机 名 J 的 方式 来 处 理 ， 举 例 来 说 
哥 


www.centos.vbird 主机 上 面 有 个 dmtsai 的 使 用 者 ， 则 我 的 email 将 会 
为 : 

『dmtsai@Owww.centos.vbird4 ， 当 有 人 要 寄 信 给 我 时 ， 他 会 分 析 @ 后 
面 的 主机 名 ， 


亦 即 www.centos.vbird 的 MX/A 标志 等 然后 再 透 过 刚刚 说 明 的 流程 
来 传 出 信件 。 
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0 


> 3 


公 地 凯 用 这 铺 用 | 
Mail User ARent (MUA) Mail User Agent (MUA) 
epl 


pe ; 中 入] 上 服 响 过问 伙 用 之 娜 件 同 服 器 
Mail Tra | TransterlAgent (MTA) 


Mail Dilivery Agent 
(MDA) 


SMTP 
Port 25 


而 当 我 的 www.centos.vbird. 收 到 这 封 信 时 ， 他 会 将 信 放 到 dmtsai 的 信 
箱 当 中 啦 ! 

底下 我 们 束 来 谈 一 谈 这 个 流程 吧 ! 

22.1.3 邮件 传输 所 需要 的 组 件 (MTA, MUA, MDA) 以 及 相关 协议 


在 开始 介绍 邮件 的 传送 过 程 之 前 ， 我 们 先 来 想 一 想 ， 你 是 如 何 寄 出 电 
子 邮 件 的 ? 假 


设 你 要 寄 信 给 一 个 用 户 ， 他 的 电子 邮件 是 『a_user@gmail.comJ 好 
了 ， 也 就 是 说 ， 你 


要 寄 一 封 信 到 gmail.com 这 个 主机 上 的 意思 。 那 你 的 桌面 计算 机 (举例 
来 说 ， 

Windows 系统 ) 是 否 能 够 将 这 封 信 『 直 接 」 透 过 网 络 送 给 gmail.com 那 
个 主机 上 9? 当 


然 不 行 啦 ! 你 得 要 设 定 帮 你 转 信 的 邮件 服务 器 才 行 ! 也 就 是 说 ， 你 必 
需要 先 向 某 一 部 邮 


人 
出 去 的 。 


所 以 说 ， 你 要 寄 出 一 封 信件 时 是 需要 很 多 接口 的 帮忙 的 ， 底 下 列 出 一 
个 简单 的 图 示 


来 说 明 : 
图 22.1-1、 电 子 邮件 的 了 传送 上 过 程 示意 图 
我 们 先 来 解释 一 些 专 有 名 词 吧 ! 然后 再 来 说 明 传 送 的 流程 : 


A. MUA (Mail User Agent): 


顾名思义 MUA 就 是 『 邮 件 使 用 者 代理 人 4 的 意思 ， 因 为 除非 你 可 以 直 
毛利 用 类 
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似 telnet 之 类 的 软件 登入 邮件 服务 絮 来 主动 发 出 信件 ， 否 则 您 就 得 要 透 
过 MUA 


来 帮 你 送信 到 邮件 服务 硼 上 头 去 。 最 第 见 的 MUA 像 古 Mozilla 推出 的 


Thunderbird (和 二 乌 ) 目 由 软件 ， 或 者 是 Linux 桌面 KDE 常见 的 Kmail ， 
及 


Windows 内 件 的 Outlook Express (OE) 等 。MUA 主要 的 功能 就 是 收受 
邮件 主 


机 的 电子 邮件 ， 以 及 提供 用 户 浏 宽 与 编写 邮件 的 功能 ! 
B. MTA (Mail Transfer Agent): 


MUA 帮 用 户 传 送 邮件 到 邮件 主机 上 ， 那 这 部 邮件 主机 如 果 能 够 帮 用 户 
将 这 封 信 寄 


出 去 ， 那 他 殉 是 一 部 邮件 传送 主机 (MTA) 啦 ! 这 个 MTA 就 是 『 邮 件 
传送 代理 人 4 


的 意思 。 也 来 顾名思义 一 下 ， 既 然 是 了 传送 代理 人 4 ， 那么 使 用 者 寄 
出 的 信 ， 


帮 用 户 将 属于 该 用 户 的 信件 收 下 时 ， 就 是 找 它 (MTA) 就 对 啦 ! 基本 
上 ，MTA 的 


功能 有 这 些 : 


1. 收受 信件 : 使 用 简单 邮件 传送 协议 (SMTP) 


MTA 主机 最 主要 的 功能 吏 是 : 将 来 目 客 户 端 或 者 是 其 他 MTA 的 来 信 
收 下 


来 ， 这 个 时 候 MTA 使 用 的 是 Simple Mail Transfer Protocol (SMTP)， 
他 使 用 的 是 port 25 啦 ! 

2. 转 递 信 件 : 

件 的 目的 地 并 不 是 本 身 的 用 户 ， 且 该 封 信 的 相关 数据 符合 


MTA 的 权力 ， 那么 咱们 的 MTA 就 会 将 该 封 信 再 传送 到 下 一 部 主机 
即 是 所 谓 的 转 递 (Relay) 的 功能 

总 之 ， 我 们 一 般 提 到 的 Mail Server 就 是 MTA 啦 ! 而 严格 来 说 ， MTA 
其 


一 人 


实 仅 是 指 SMTP 这 个 协议 而 已 。 而 达成 MTA 的 SMTP 功能 的 主要 软件 
包括 老牌 


的 sendmail， 后 起 之 秀 的 postfix， 还 有 qmail 等 等 。 撒 下 我 们 来 看 看 ， 
那么 


在 MTA 上 头 还 有 哪些 重要 的 功能 。 
C. MDA (Mail Delivery Agent): 


字面 上 的 意思 是 『 邮 件 递送 代理 人 4 的 意思 。 事 实 上， 这 个 MDA 是 挂 
在 MTA 底 


下 的 一 个 小 程序 ， 最 主要 的 功能 就 是 : 分析 由 MTA 所 收 到 的 信件 表 


数据 ， 来 决定 这 封 邮 件 的 去 同 。 所 以 说 ， 上 面 提 到 的 MTA 的 信件 转 
逮 功 能 ， 其 


实 是 由 MDA 达成 的 。 举例 来 说 ， 如 末 MTA 所 收 到 的 这 封 信和 目标 是 目 
EE 屠 各 


MDA 会 将 这 封 信 给 他 转 到 使 用 者 的 信箱 (Mailbox) 去 ， 如 琳 不 是 呢 ? 
那 就 准备 


。 此 外 ，MDA 还 有 分 析 与 过 滤 邮 件 的 功能 喔 ! 举例 来 
Wo: 


1. 过 滤 垃 圾 信件 : 
可 以 根据 该 封 邮件 的 表 关 资料， 或 者 是 特定 的 信件 内 容 来 加 以 分 析 过 


例如 某 个 广告 信 的 主题 都 是 固定 的 ， 如 『AV 情色 .4 等 等 ， 那 就 可 以 
透 过 MDA 来 过 小 并 去 除 该 邮件 。 
2. 自动 回复 : 


如 果 您 出 差 了 导致 某 一 段 时 间 内 无 法 立即 回信 时， 就 可 以 透 过 MDA 的 
功 
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We 以 目 动 发 出 回复 信件 ， 如 此 您 的 朋友 就 不 会 认为 你 太 


有 牌 ! 人 人 


各 主要 的 MTA 程序 (sendmail,postfix...) 都 有 自己 的 MDA 功能 ， 不 过 
有 坚 


外 挂 的 程序 功能 更 强大 ， 举 例 来 说 procmail 就 是 一 个 过 滤 的 好 帮手 ， 


小 


Mailscanner + Spamassassion 也 是 可 以 使 用 的 一 些 MDA 喔 。 


D. Mailbox: 


束 生 电子 邮件 信箱 嘛 ! 简单 的 说 ， 束 旦 菏 个 账号 专用 的 信件 收受 档案 
喝 。 我 们 的 


Linux 系统 默认 的 信箱 都 是 放 在 /var/spool/mail/ 使 用 者 账号 中 ! 大 
MTA 所 


收 到 的 信件 是 本 机 的 使 用 者 ，MDA 就 会 将 信件 送 到 该 mailbox 当中 去 
喝 ! 


好 了 ， 那 么 来 想 一 想 ， 你 如 何 透 过 MUA 来 将 信件 送 到 对 方 的 邮件 信箱 
(Mailbox) 


去 呢 ? 

0 Step 0: 取得 某 部 MTA 的 权限 : 

二 让 各 所 示 ， 我 们 本 地 端的 MUA 想 要 使 用 MTA 来 传 出 信件 
需要 取得 MTA 的 权限 。 通 常 就 是 说 : 我 们 必须 要 向 MTA 注册 一 组 可 
使 用 email 

的 账号 与 密码 才 行 。 

0 Step 1: 使 用 者 在 MUA 上 编写 信件 后 ， 传 送 至 MTA 上 头 : 

用 户 在 MUA 上 面 编写 信件 ， 信 件 的 数据 主要 有 : 

o 信件 标 头 : 包括 发 件 人 与 收 件 者 的 email 地 址 ， 还 有 该 封 信件 的 主 
后 (subjecb 等 ; 

o 信件 内 容 : 就 是 你 要 跟 对 方 说 明 的 内 容 啦 ! 


编写 完毕 之 后 只 要 按 下 传送 钮 ， 该 封 信 束 会 送 至 你 的 MTA 服务 右上 面 
了 ， 注 意 : 


是 你 的 MTA 而 不 是 对 方 的 MTA ! 如 果 你 确定 可 以 使 用 该 部 MTA， 
那么 你 的 这 


封 信 束 会 被 放置 到 MTA 的 队列 (queue) 当中 并 等 每 传送 出 去 了 。 
0 Step 2.1: 如 有 果 该 封 信 的 目标 是 本 地 端 MTA 目 己 的 账号 


训 给 你 目 己 的 ， 所 以 如 果 你 的 MTA 收 到 该 封 信件 的 目标 是 
己 的 用 


户 时 ， 那 就 会 通 过 MDA 将 这 封 信 送 到 Mailbox 去 哎 ! 


0 Step 2.2: 如 果 该 封 信 目 的 为 其 他 MTA ， 则 开始 转 递 (Relay) 的 流 
程 : 
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那 如 果 这 封 信 的 目标 是 其 他 的 主机 呢 ? 这 个 时 候 我 们 的 MTA 就 会 开始 
分 析 该 封 


信 征 人 否 具有 合法 的 权限 ， 奉 具有 权限 时 ， 则 我 们 的 MDA 会 开始 进行 
邮件 转速 ， 


亦 即 该 封 信件 会 透 过 我 们 的 MTA 辐 下 一 部 MTA 的 smtp (port 25) 发 送 
出 去 。 


J 信件 顺利 的 发 送出 去 了 ， 那 么 该 封 信件 就 会 由 队列 当中 移 除 
了 。 


0 Step 3: 对 方 MTA 服务 器 收 受信 件 


0 问题 的 话 ， 远 程 的 MTA 会 收 到 我 们 MTA 所 发 出 的 那 
封 信 ， 并 将 


该 信件 放置 到 正确 的 使 用 者 信箱 当中 ， 等 待 使 用 者 登入 来 读 取 或 下 
载 。 


在 这 整个 过 程 当 中 ， 你 会 发 现 你 的 信件 是 由 我 们 的 MTA 帮忙 发 送出 去 
的 ， 此 时 MTA 


提供 的 协议 是 人 简单 邮件 传输 协议 (Simple Mail Transfer Protocol, smtp)， 
并 且 该 


封 信息 终 是 停留 在 对 方 主机 的 MTA 上 头 ! 并 不 是 你 朋友 的 MUA 上 头 
啊 ! 


Tips: 

为 何 特别 强调 这 一 点 ? 因为 以 前 有 个 朋 有 跟 我 说 : 『 鸟 哥 啊 ， 你 要 
寄 email 给 我 的 时 候 记 得 跟 我 讲 ， 那 我 下 班 前 将 计算 机 开 着 ， 以 
免 你 信 寄 不 到 我 的 信箱 了 ， 此 时 额头 三 条 线 突然 跑 出 来 ~ 很 不 好 意 
思 一 所 以 这 里 才 要 特别 强调 ， 你 的 MUA 不 必 开 着 啦 ! 要 收 信 时 再 
打开 即 可 。 


了 解 了 传送 信件 时 MTA 需要 启动 smtp (port 25) 之 后 ， 再 来 我 们 得 要 谈 
谈 那 这 封 信 


件 对 方 要 如 何 接收 啊 ? 
22.1.4 使 用 者 收 信 时 服务 夯 冰 所 提供 的 相关 协议 : MRA 


那 使 用 者 如 琳 想 要 收 信 时 ， 当 然 也 可 以 透 过 MUA 直接 来 联机 取得 目 己 
的 邮件 信箱 


内 的 数据 啊 ! 整个 过 程 有 点 像 奈 下 这 样 : 
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术 地 端 用 卢 RE 有 有 
Mail User Agent (MUA) Mail Uskr Agcnd{ MUA) 
Stepl Step3 
POP/ IMAP 
1!{MRA) 
\ ~ ” 知 停 主机 之 
一 ~、 ee ~ = 有 Mailbox 
本 地 端 伙 用 之 对 件 倘 服 器 速 端 使 用 之 邓 件 入 恨 器 
Mail Transfer Agent (MT; A) Ma Transfer Agent (MTA) 


图 22.1-2、 客 户 端 透 过 MRA 收回 信件 的 流程 示意 图 
在 上 述 的 图 示 中 ， 多 了 一 个 邮件 组 件 ， 那 殴 是 MRA: 
E. MRA (Mail Retrieval Agent): 


使 用 者 可 以 透 过 MRA 服务 器 提供 的 邮政 服务 协议 (Post Office Protocol， 
POP) 


来 收 下 目 己 的 信件 ， 也 可 以 透 过 IMAP (Internet Message Access 
Protocol) 协 


议 将 自己 的 信件 保留 在 邮件 主机 上 面 ， 并 进一步 建立 邮件 数据 匣 等 进 
阶 工作 。 


也 束 是 说 ， 当 客户 问 收 受信 件 时 ， 使 用 的 是 MRA 的 POP3, IMAP 等 通 
讯 协 议 ， 


并 非 MTA 的 SMTP 喔 ! 


我 们 先 谈 一 谈 POP3 的 收 信 方 式 吧 .: 


1. MUA 透 过 POP3 (Post Office Protocol version 3) 的 协议 连接 到 MRA 
的 


port 110， 并 且 输 入 账号 与 密码 来 取得 正确 的 认证 与 授权 |; 
2. MRA 确认 该 用 户 账 号 /密码 没有 问题 后 ， 会 前 往 该 使 用 着 的 Mailbox 


| 
次 


3. 当 所 有 的 信件 传送 完毕 后 ， 用 户 的 mailbox 内 的 数据 将 会 被 删除 ! 


在 上 壕 的 流程 当中 我 们 知道 MRA 必须 要 启动 POP3 这 个 协议 才 行 ， 不 
过 这 个 协议 


的 收 件 方式 比较 有 趣 ， 因为 使 用 兰 收 信和 是 由 第 一 封 信件 开始 收 下 直到 
最 后 一 封 信件 传 


输 完毕 为 止 。 不 过 由 于 某 些 MUA 程序 反 写 的 问题 ， 者 有 些 邮件 有 病毒 
的 可 能 性 时 ， 透 


过 防 病毒 软件 将 可 能 导致 该 MUA 软件 的 断 线 ! 如 此 一 来 由 于 传输 没 
有 人 完毕， 因此 MRA 


主机 并 不 会 将 用 户 的 信件 删除 。 此 时 如 果 使 用 者 又 再 一 次 的 按 下 接收 
按键 ， 呵 呵 ! 原 


来 已 接收 的 信件 又 会 重复 收 到 ， 而 没有 收 到 的 还 是 收 不 到 ! 
i 
9 邮件 ， 


或 许 换 一 种 MUA 也 走 个 不 错 的 思考 方向 ， 又 或 者 暂时 将 防 病毒 软件 天 
挥 也 是 可 以 考虑 
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的 手段 之 一 。 转 头 过 来 想 一 想 ， 因 为 POP3 的 协议 预 设 会 将 信件 删 
除 ， 那 如 采 我 今天 


在 办 公 室 将 我 的 信 收 到 办 公 室 的 计算 机 中 ， 当 我 回 家 时 再 度 启 动 MUA 
时 ， 征 人 否 能 够 收 


到 已 经 被 接收 的 信件 ? 当然 不 行 ， 对 吧 ! 
或 许 你 需要 更 有 帮助 的 协议 ， 亦 即 IMAP (Internet Messages Access 


Protocol) ， 


这 个 协议 可 以 让 你 将 mailbox 的 数据 转 存 到 你 主机 上 的 家 目录 ， 亦 即 
/home/ 账 号 / 那 


个 目 永 下 ， 那 你 不 但 可 以 建立 邮件 数据 匣 ， 也 可 以 针对 信件 分 类 管 
理 ， 而 且 在 任何 一 


0 原本 的 信件 束 还 是 存在 呐 ! 真 
定好 啊 ! 


不 过 ， 使 用 IMAP 时 ， 用 户 的 目 永 最 好 能 够 加 点 限制 ， 例 如 利用 quota 
来 管理 用 


户 的 硬盘 权限 ， 否 则 因为 信件 都 在 主机 上 头 ， 如 果 用 户 过 多 且 误 用 
时 ， 你 的 硬盘 空间 


会 被 吃 光 光 喔 ! 注意 注意 ! 


OK! 透 过 上 面 的 说 明 你 要 知道 ， 要 以 设 一 部 可 以 使 用 MUA 进行 收发 
信件 的 MTA， 


MRA 服务 器 ， 你 至 少 也 需要 启动 SMTP 以 及 POP3 这 两 个 协议 才 行 ! 
而 这 两 个 协议 的 启 


动 程序 并 不 相同 ， 所 以 架设 上 还 是 得 要 小 心 注意 啊 ! 


pop3s, imap2 与 SMTP 的 困 拢 


邮件 数据 在 因特网 上 面 传输 时 ， 透 过 的 SMTP, POP3, IMAP 等 通讯 协 
议 ， 通 通 是 明 


码 传输 的 ! 尤其 POP3, IMAP 这 两 个 通讯 协议 中 ， 使 用 者 必须 要 输入 账 
号 /密码 才能 收 


受信 件 ! 因为 涉及 帐 密 ， 所 以 当然 加 密 这 两 个 通讯 协议 的 数据 较 佳 ! 
于 是 就 有 了 POP3s， 


IMAPs 通讯 协议 出 现 了 ! 透 过 SSL 加 密 嘛 ! 那 你 会 问 ， 既 然 已 经 有 
pop3s, imaps 了 ， 


那 有 没有 smtps 呢 ? 答案 是 ， 当 然 有 ! 只 不 过 没 人 用 ! 


从 图 22.1-1 及 图 22.1-2 的 流程 来 看 ，POP3, IMAP 只 与 MRA 及 自己 的 
用 户 有 关 ， 


因此 你 只 要 跟 你 的 用 户 说 ， 你 服务 占 使 用 的 MRA 协议 为 何 ， 通 知 你 的 
用 户 改 变 即 可 ， 


并 不 会 影响 到 其 他 的 服务 器 。 但 是 MTA 就 不 同 了 1! 因为 MTA 必须 与 
其 他 的 MTA 沟通 ， 


因此 ， 若 你 使 用 了 smtps ， 那 么 全 世界 与 你 的 MTA 沟通 者 ， 通通 需要 
改变 为 smtps 通 


讯 协议 才 行 ! 这 个 工程 实在 太 浩 大 了 ! 目前 还 没有 任何 一 家 ISP 有 能 
力 进 行 ! 所 以 ， 


就 造成 目前 没有 SMTPs 的 协议 鹃 。 


那么 难道 你 的 数据 就 一 定 要 是 明码 吗 ? 那 倒 不 见得 一 既然 你 的 MTA 无 
法 加 密 ， 那 


么 你 束 目 己 将 邮件 数据 加 密 后 ， 再 交 由 MTA 传送 即 可 ! 这 也 是 目前 很 
多 急需 加 密 数 据 


的 邮件 用 户 所 使 用 的 手段 啦 ! ^ 和 
22.1.5 Relay 与 认证 机 制 的 重要 性 
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当 你 需要 MTA 帮 你 将 信 寄 送 到 下 一 部 MTA 去 时 ， 这 个 动作 就 称 为 邮 
件 转 递 


(Relay) 嗓 ， 那 就 是 图 22.1-1 当中 的 Step 2.2 那个 动作 啦 。 那 么 我 们 来 


外 一起， 如 


果 『 所 有 的 人 都 可 以 藉 由 这 一 部 MTA 帮忙 进行 Relay 时 ， 这 个 情况 称 
之 为 Open 


Relay 的 动作 上。 当 你 的 MTA 发 生 Open Relay 时 ,会 有 什么 问题 ? 问 
题 可 就 大 了 | 


当 你 的 MTA 由 于 设 定 不 展 的 天 系 导 致 具有 Open Relay 的 状况 ， 加 上 
你 的 MTA 确 


实 是 连 上 因特网 时 ， 由 于 因特网 上 面 用 port scan 软件 的 闲人 太 多 ， 你 
的 MTA 具有 


Open Relay 的 功能 这 件 事情 ， 将 会 在 短 时 间 内 台 被 很 多 人 察觉 ， 此 时 
那些 不 法 的 广告 


信 、 色 情 垃圾 信 业 着 将 会 利用 你 的 这 部 Open Relay MTA 发 送 他 们 的 广 
告 ， 所 以 你 会 发 


生 的 问题 至 少 有 : 
0 你 主机 所 在 的 网 域 正 常 使 用 的 连接 速度 将 会 变 慢 ， 因 为 网 络 带宽 都 被 


口 


垃圾 信 吃 区 了 ; 


0 你 的 主机 可 能 由 于 大 量 发 送信 件 寻 致 主机 次 源 被 耗 尽 ， 容 易 产生 不 明 


机 之 类 的 问题 ; 


0 你 的 MTA 将 会 被 因特网 社会 定义 为 『 淡 名 单 ]， 从 此 很 多 正常 的 邮 
件 束 会 


无 法 收发 ; 


0 你 MTA 所 在 的 这 个 IP 将 会 被 上 层 ISP 所 封锁 ， 直 到 你 解决 这 个 
Open 


Relay 的 问题 为 止 ; 
吕 某 些 用 户 将 会 对 你 的 能 力 产 生 质 疑 ， 对 您 公司 或 者 是 你 个 人 将 会 有 信 


心 障碍 ! 
甚至 可 能 流失 客 源 ; 


0 如 果 你 的 MTA 被 利用 来 发 黑 画 ， 你 是 找 不 到 原 发 信者 的 ， 所 以 你 这 
部 MTA 


将 会 家 追踪 为 最 终 站 ! 


问题 很 大 哟 ! 所 以 啊 ， 目 前 所 有 的 distributions 都 一 样 ， 几 乎 都 将 
MTA 预 设 局 


动 为 仅 监 听 内 部 循环 接口 to) 而已， 而且 也 将 Open Relay 的 功能 取消 
了 。 有 既然 取消 


Open Relay 的 功能 ， 那 么 怎么 使 用 这 部 MTA 的 Relay 来 帮忙 转 信 啊 ? 
呵呵 ! 所 以 我 


们 在 上 头 才 会 一 直 说 ， 你 『 必 需 4 取得 合法 使 用 该 MTA 的 权限 啊 ! 
这 也 就 是 说 ， 设 定 


谁 可 以 使 用 Relay 的 功能 惑 是 我 们 管理 员 的 任务 啦 ! 通 毅 设 定 Relay 的 
方法 有 这 几 种 : 


0 规定 某 一 个 特定 客户 端的 IP 或 网 段 ， 例 如 规定 内 部 LAN 的 
192.168.1.0/24 可 使 用 Relay: 


和 端的 IP 不 固定 时 (例如 拨 接 取得 的 非 固 定 IP) 可 以 利用 认证 机 
I 


来 处 理 。 


0 将 MUA 架设 在 MTA 上 面 ， 例 如 OpenWebMail 之 类 的 web 接口 的 
MUA 功 


合 巴 
月 已 “ 


认证 机 制 上 面 常见 的 有 SMTP 邮件 认证 机 制 ， 以 及 SMTP after POP 两 
和 种， 不论 是 


哪 一 种 机 制 ， 基本 上 都 是 透 过 让 使 用 者 输入 认证 用 的 账号 与 密码 ， 来 
确定 他 有 合法 使 


用 该 MTA 的 权限 ， 然 后 针对 通过 认证 者 开启 Relay 的 文 持 就 是 了 。 如 
此 一 来 你 的 MTA 


不 再 启动 Open Relay ， 并 且 客 户 闹 还 是 可 以 正常 的 利用 认证 机 制 来 收 
发 信件 ， 里 为 


管理 员 的 你 可 束 轻 松 多 喝 ! 和 人 人 
net.giang@hotmail.com 
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22.1.6 电子 邮件 的 数据 内 容 


看 过 上 头 的 数据 后 ， 您 应 该 对 于 Mail server 有 一 些 程度 的 认识 了 。 再 
来 要 谈 的 


征 ， 那 么 一 封 email 的 内 容 有 哪些 部 分 呢 ? 惑 跟 人 类 社会 的 邮件 有 信和 雪 
袋 以 及 内 部 的 


信纸 一 样 ，email 也 有 所 谓 的 标 头 (headen 以 及 内 容 (body) 两 部 份 喔 ! 


email 的 标 头 部 分 (类 似 邮件 信封 ) 会 有 儿 个 重要 信息 ， 包 括 : 这 封 信 来 
目 那 个 

MTA、 是 由 谁 所 发 送出 来 的 、 要 送 给 谁 、 主 由 为 何等 等 ， 至 于 内 容 
(类 似 信封 内 的 信纸 ) 

则 有 是 发 信者 所 填写 的 一 些 说 明 吵 。 如 采 你 使 用 dmtsai 的 映 份 下 达 这 个 


已 和 人 人 
8 令 : 


[dmtsai@www ~]$ echo "HaHa.… | mail -s "from vbird" dmtsai 

然后 将 目 己 的 信箱 内 容 叫 出 来 ， 如 下 所 示 : 

[dmtsai@www ~]$ cat /var/spool/mail/dmtsai 

From dmtsai@www.centos.vbird Mon Aug 8 18:53:32 2011 <== 发 信者 的 
email 

Return-Path: <dmtsai@www.centos.vbird> <== 这 封 信 的 

来 产 

X-Original-To: dmtsai 

Delivered-To: dmtsai(@www.centos.vbird 

Received: by www.centos.vbird (Postfix, from userid 2007) 


id 6D1C8366A; Mon, 8 Aug 2011 18:53:32 +0800 (CST) <== 邮 件 


ID 


# 这 部 份 主要 在 讲 这 封 email 的 来 源 与 目标 收 件 者 MTA 在 哪里 的 信息 


Date: Mon, 08 Aug 2011 18:53:32 +0800 <== 收 到 信件 的 日 期 
To: dmtsai@www.centos.vbird <== 收 件 者 是 谁 啊 ! 

Subject: from vbird <== 束 是 信件 标题 

User-Agent: Heirloom mailx 12.4 7/29/08 

MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 
Content-Transfer-Encoding: 7bit 


Message-Id: <20110808105332.6D1C8366A@www.centos.vbird> <== 给 机 
铝 看 


的 邮件 ID 
From: dmtsai@www.centos.vbird <== 发 信者 是 谁 啊 ! 
HalHa.. 


由 原本 的 信件 内 容 我 们 可 以 看 到 email 确实 是 两 部 份 ， 在 标 头 部 分 记录 
了 比较 详细 的 


收 、 发 件 着 数据 ， 以 及 相关 的 来 源 、 目 标 之 MTA 信息 等 等 。 但 你 要 
注意 的 是 ， 那 个 


『Received:...J 那 一 行 资 料 是 开会 变动 的 」， 如 同 前 面谈 到 的 MX 标 
志 ， 如 果 一 封 


信 由 MUA 传送 到 MTA 在 由 MTA 传送 到 MX 主机 后 ， 才 传送 到 最 终 
的 MIA 时， 那么 
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这 个 Received: 的 数据 将 会 记 杂 每 一 部 经 手 过 的 MTA 信息 哄 ! 所 以 你 
可 以 借 大 这 个 记 


杂 数 据 慢 慢 的 找 回 这 封 信 的 传递 方向 呢 ! 


此 外 ， 这 个 邮件 的 标 头 以 及 内 容 的 分 析 部 分 ， 你 还 可 以 厌 由 茶 些 分 析 
软件 来 进行 过 


泪 ， 这 部 份 我 们 将 在 后 头 再 慢 慢 的 介绍 给 大 家 了 解 喔 ! 和 人! 您 先知 
道 一 封 邮件 至 少 


有 这 些 数 据 ， 以 后 咱们 再 慢 慢 的 解释 鹃 ! 
22.2 MTA 服务 器 : Postfix 基础 设 定 


可 达成 MTA 的 服务 背 软 件 非 党 多 ， 例 如 我 们 的 CentOS 预 设 束 提 供 了 
数 十 年 老牌 


子 的 sendmail (http:/www.sendmail.org) 以 及 近期 以 来 很 热门 的 Postfix 


(http:/www.postfix.org) 。 虽 然 sendmail 曾 是 最 为 广泛 使 用 的 mail server 
软件 ， 


但 由 于 sendmail 的 配置 文件 太 过 于 难 懂 ， 以 及 早期 的 程序 漏洞 问题 导 
致 的 主机 安全 性 


缺失 ;加 上 sendmail 将 所 有 的 功能 都 统合 在 /usr/sbin/sendmail 这 个 程 
序 当 中 导 


致 程序 太 大 可 能 会 有 效能 方面 的 疑虑 等 等 ， 所 以 新 版 的 CentOS 已 经 
将 预 设 的 mail 


server 调整 为 postfix 嗓 ! 我 们 这 里 也 主要 介绍 postfixz。 当 然 啦 ， 原 理 
方面 都 一 样 ， 


您 也 可 以 目 己 玩 玩 其 他 的 mail server 。 
22.2.1 Postfix 的 开发 


Postfix 是 由 Wietse Zweitze Venema 先生 


所 发 展 的 。 早 期 的 mail server 都 是 使 用 sendmail 架设 的 ， 还 真 的 是 
『 仅 此 一 家 ， 


绝 无 分 号 」! 不 过 ，Venema 博士 觉得 sendmail 虽然 很 好 用 ， 但 是 毕竟 
不 够 安全 ， 尤 


其 效能 上 面 并 不 十 分 的 理想 ， 最 大 的 困扰 古 .…sendmail 的 配置 文件 


sendmail.cf 真 


的 是 太 难 全 了 ! 对 于 网 管 人 员 来 说 ， 要 设 定好 sendmail.cf 这 个 档案 ， 
真 不 是 人 作 的 


工作 。 


为 了 改善 这 些 问 题 ， Venema 博士 束 在 1998 年 利用 他 老大 在 IBM 公司 
的 第 一 个 


休假 年 进行 一 个 计划 : 『 设计 一 个 可 以 取代 sendmail 的 软件 套件 ， 可 
以 提供 网 站 管 

理 员 一 个 更 快速 、 更 安全 、 而 且 完 全 兼容 于 sendmail 的 mail server 软 
件 ! 4 这 个 

计划 还 真 的 成 功 了 ! 而 且 也 成 功 的 使 用 在 IBM 内 部 ， 在 IBM 内 可 以 
说 是 完全 取代 了 


sendmail 这 个 邮件 服务 絮 ! 在 这 个 计划 成 功 之 后 ， Venema 博士 也 在 
1998 年 首次 释 


出 这 个 目 行 发 展 的 邮件 服务 器 ， 并 定名 为 VMailer 。 


不 过 ，IBM 的 律师 却 发 现 一 件 事 ， 那 孢 是 VMailer 这 个 名 字 与 其 他 已 
注册 的 商标 


很 类 似 ， 这 样 可 能 会 引起 一 些 注册 上 面 的 困扰 。 为 了 避免 这 个 问题 ， 
所 以 Venema 博 


士 束 将 这 个 邮件 软件 名 称 改 为 Postfix ! 
『Post 有 在 什么 什么 之 后 4 的 意思 ， 
『fix 则 | 


是 修订 J 的 意思 ， 所 以 postfix 有 『 在 修订 之 后 4 的 意思 。 
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鸟 哥 个 人 认为 ， Venema 先生 最 早 的 构想 并 不 是 想 要 『 创 造 一 个 全 新 的 
Mail 


server 软件 ， 而 是 想 要 制造 一 个 可 以 完全 兼容 于 sendmail 的 软件 4 ， 所 
以 ，Venema 先 


生 认 为 他 自行 发 展 的 软件 应 该 是 『 改 良 sendmail 的 缺失 4 ， 所 以 才 称 
为 Postfix 吧 ! 


取 其 意 为 : 『 改 良 了 sendmail 之 后 的 邮件 服务 器 软件 ! J 


所 以 啦 ， Postfix 设计 的 理念 上 面 ， 主 要 是 针对 『 想 要 完全 兼容 于 
sendmailJ 所 


设计 出 来 的 一 款 『 内 在 部 分 完全 新颖 4 的 一 个 邮件 服务 器 软件 。 束 是 
由 于 这 个 理念 ;， 


此 Postfix 改善 了 sendmail 安全 性 上 面 的 问题 ， 改 恨 了 mail server 的 工 
作 效 率 ， 


且 让 配置 文件 内 容 更 具 亲 和 力 ! 因此 ， 你 可 以 轻易 的 由 sendmail 转换 
到 Postfix 上 


面 ! 这 也 是 当初 Venema 博士 的 最 初 构想 啊 ! 


就 是 基于 这 个 构想 ， 所 以 Postfix 在 外 部 配置 文件 案 的 支持 度 ， 与 
sendmail 几 


平 没 有 两 样 ， 同 样 的 支持 aliases 这 个 档案 ， 同 样 的 支持 ~/.forward 这 


个 档案 ， 也 


同样 的 支持 SASL 的 SMTP 邮件 认证 功能 等 等 ! 所 以 ， 呵 呵 ! 赶紧 来 


学 一 学 怎样 架设 
postfix 这 个 相当 出 色 的 邮件 服务 器 吧 ! 和 人 
22.2.2 所 需要 的 软件 与 软件 结构 


由 于 CentOS 6.x 预 设 就 是 提供 postfix 的 ! 所 以 根本 无 须 调 整 啥 噬 吹 ~ 
直接 来 


那么 postfix 有 哪些 重要 的 配置 文件 呢 ? 他 主要 的 配置 文件 都 
6 


/etc/postfix/ 当中 ， 详 细 的 档案 内 容 就 让 我 们 来 谈 谈 : 
D /etc/postfix/main.cf 


这 束 古 主要 的 postfix 配置 文件 哆 ， 几 乎 所 有 的 设 定 参数 都 是 在 这 个 档 


案 内 规 


范 的 ! 这 个 档案 预 设 吏 是 一 个 完整 的 说 明 档 了 ， 你 可 以 参考 这 个 档案 
的 内 容 整 


设 定好 属于 你 的 postfix MTA 呢 ! 只 要 修改 过 这 个 档案 ， 记 得 要 重新 


局 动 
postfix 喔 ! 
D /etc/postfix/master.cf 


主要 规定 了 postfix 每 个 程序 的 运作 参数 ， 也 是 很 重要 的 一 个 配置 文 
作 到 不 过 


这 个 档案 预 设 已 经 很 OK 了 ， 通 常 不 需要 更 改 他 。 
D /etc/postfix/access (利用 postmap 处 理 ) 


00 0505 0 
< 


过 这 个 档案 要 生效 还 需要 在 /etc/postfix/main.cf 启动 这 个 档案 的 用 途 才 
I 


且 设 定 完毕 后 需要 以 postmap 来 处 理 成 为 数据 库 档案 呢 ! 
D /etc/aliases (利用 postalias 或 newaliases 均 可 ) 

做 为 邮件 别名 的 用 途 ， 也 可 以 作为 邮件 群 组 的 设 定 喔 ! 
至 于 常见 的 执行 档 则 有 底下 这 些 : 


net.giang@hotmail.com 
吕 /usr/sbin/postconf (查阅 postfix 的 设 定 数据 ) 
这 个 指令 可 以 列 出 目前 你 的 postfix 的 详细 设 定数 据 ， 包 括 系 统 默 认 值 


也 会 被 


列 出 来 ， 所 以 数据 量 相 当 的 庞大 ! 如 果 你 在 main.cf 里 面 曾 经 修改 过 某 
些 预 设 


参数 的 话 ， 想 要 仅 列 出 非 默 认 值 的 设 定数 据 ， 则 可 以 使 用 『postconf - 
和 人 


选项 即 可 。 
D /usr/sbin/postfix (主要 的 daemon 指令 ) 


0 的 主要 执行 档 ， 你 可 以 简单 的 使 用 他 来 启动 或 重新 读 取 配 
置 : 


[root@www ~]# postfix check <== 检 查 postfix 相关 的 档案 、 权 限 等 是 否 
正确 ! 


[root@www ~]# postfix start <== 开 始 postfix 的 执行 

[root@www ~]# postfix stop <== 关 闭 postfix 

[root@www ~]# postfix flush <== 强 制 将 目前 正在 邮件 队列 的 邮件 寄 出 ! 
[root@www ~]# postfix reload <== 重 新 读 入 配置 文件 ， 也 就 是 
/etc/postfix/main.cf 


要 注意 的 是 ， 每 次 更 动 过 main.cf 后 ， 务 必 重 新 启动 postfix， 可 简单 的 
使 用 


『postfix reloadJ 即 可 。 不 过 老实 说 ， 鸟 哥 还 是 习惯 使 用 
/etc/init.d/postfix 


reload.. 


[ /usr/sbin/postalias 


设 定 别名 数据 库 的 指令 ， 因 为 MTA 读 取 数 据 库 格 式 的 档案 效能 较 佳 ， 
所 以 我 们 


都 会 将 ASCII 格式 的 档案 重建 为 数据 库 。 在 postfix 当中 ， 这 个 指令 主 
要 在 


转换 /etc/aliases 成 为 /etc/aliases.db 吵 ! 用 法 为 : 

[root@www ~]# postalias hash:/etc/aliases 

# hash 为 一 种 数据 库 的 格式 ， 然 后 那个 /etc/aliases.db 就 会 自动 被 更 新 
H 罗 | 

L /usr/sbin/postcat 


主要 用 在 检查 放 在 queue (队列 ) 当中 的 信件 内 容 。 由 于 队列 当中 的 信件 
内 容 是 


给 MTA 看 的 ， 所 以 格式 并 不 是 一 般 我 们 人 类 看 的 懂 的 文字 数据 。 所 
以 这 个 时 候 


你 得 要 用 postcat 才 可 以 看 出 该 信件 的 内 容 。 在 /var/spool/postfix 内 有 
相 

当 多 的 目 永 ， 假 设 内 有 一 个 文件 名 为 /deferred/abcfile ， 那 你 可 以 利用 
压 下 


的 方式 来 查询 该 档案 的 内 容 喔 : 
[root@www ~]# postcat /var/spool/postfix/deferred/abcfile 
D /usr/sbin/postmap 


这 个 指令 的 用 法 与 postalias 类 似 ， 不 过 他 主要 在 转换 access 这 个 档案 
的 数 


据 库 啦 ! 用 法 为 : 
net.qgiang@hotmail.com 
oO 

oO 


[root@www ~]# postmap hash:/etc/postfix/access 

D /usr/sbin/postqueue 

mailq 的 输出 结果 ， 例 如 你 可 以 输入 『postqueue -pI 看 看 就 知道 
整个 postfix 的 软件 结构 大 怪 上 是 这 个 样子 的 ， 接 下 来 让 我 们 先 来 简单 
的 处 理 一 

下 postfix 的 收发 信件 功能 吧 ! 

22.2.3 一 个 邮件 服务 器 的 设 定案 例 


前 面谈 到 mail server 与 DNS 系统 有 很 大 的 相关 性 ， 所 以 如 果 你 想 要 染 
设 一 部 可 


以 连 上 Internet 的 邮件 服务 器 时 ， 你 必需 要 已 经 取得 合法 的 A 与 MX 
主机 和 名， 而 且 


最 好 反 解 也 已 经 向 您 的 ISP 申请 修改 设 定 了 ， 这 可 是 个 大 前 提 ! 不 要 
忽略 他 ! 在 底下 


DNS 内 的 设 定 为 依据 ， 主 要 的 参数 是 这 


0 邮件 服务 器 的 主要 名 称 为 : www.centos.vbird 

0 邮件 服务 器 尚 有 别名 为 linux.centos.vbird 及 ftp.centos.vbird 也 可 
以 收发 信件 ; 

0 此 邮件 服务 器 已 有 MX 设 定 ， 直 接 指向 自己 (www.centos.vbird) 
口 这 个 www.centos.vbird 有 个 A 的 标志 指向 192.168.100.254。 


在 实际 的 邮件 服务 器 设 定 当 中 ， 上 壕 的 几 个 标志 是 很 重要 的 ， 请 自行 
参考 DNS 章 


节 的 介绍 吧 ! 底下 豆 让 我 们 来 实际 设 定 postfix 服务 硕 吗 
22.2.4 让 Postfix 可 监听 Internet 来 收发 信件 


在 预 设 的 情况 下 ，CentOS 6.Xx 的 MTA 仅 针 对 本 机 进行 监听 ， 不 相信 
吗 ? 测 测 看 : 


[root@www ~]#netstat -tlnp | grep :25 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 

3167/master 


所 以 如 果 你 要 对 整个 Internet 开放 的 话 ， 就 得 要 努力 的 搞定 几 个 简单 的 
设 定 吗 ! 而 几 


乎 所 有 的 设 定 你 都 可 已 经 由 /etc/postfix/main.cf 这 个 档案 搞定 ! 修改 前 
你 需要 注意 


的 项 目 有 : 


net.qiang@Ohotmail.com 
口 『#J 符号 是 批注 的 意思 ; 
口 所 有 设 定 值 以 类 似 『 变 量 」 的 设 定 方法 来 处 理 ， 例 如 myhostname = 


www.centos.vbird， 请 注意 等 号 的 两 边 要 给 予 空 格 符 喔 ， 且 第 一 个 字符 
不 可 以 


是 空白 ， 亦 即 『my..4 要 由 行 首 写 起 ; 
0 可 以 使 用 『 $ 4 来 延伸 使 用 变量 设 定 ， 例 如 myorigin = 


$myhostname， 会 


等 于 myorigin = www.centos.vbird; 


0 如 果 该 变量 文 持 两 个 以 上 的 数据 ， 则 使 用 空格 符 来 分 隔 ， 不 过 建议 使 
用 喜 号 


加 空格 符 六 , 上 来 处 理 。 例如 :，mydestination = $myhostname， 
$mydomain, 


linux.centos.vbird， 意 指 mydestination 支持 三 个 数据 内 容 之 意 。 


0 可 使 用 多 行 来 表示 同一 个 设 定 值 ， 只 要 在 第 一 行 最 后 有 如 号 ， 且 第 二 
4 


为 空格 符 ， 即 可 将 数据 延伸 到 第 二 行 继续 书写 (所 以 刚刚 第 二 点 才 说 ， 
开头 不 


能 留 日 ! ); 
0 大 重复 设 定 某 一 项 目 ， 则 以 较 晚 出 现 的 设 定 值 为 准 ! 
要 让 你 的 postfix 可 以 收发 信件 时 ， 你 必需 要 局 动 的 设 定 数据 有 奔 下 这 


些 喔 ; 
0 myhostname: 设 定 主机 名 ， 需 使 用 FQDN 喔 


这 个 项 目 在 于 设 定 你 的 主机 名 ， 且 这 个 设 定 值 会 被 后 续 很 多 其 他 的 允 
数 所 引用 ， 


所 以 必须 要 设 定 正确 才 行 。 你 应 该 要 设 定 成 为 完整 的 主机 名 。 在 鸟 哥 
的 这 个 练 

习 当 中 ， 应 该 设 定 为 : myhostname = www.centos.vbird 才 对 。 除了 这 
个 设 定 


值 之 外 ， 还 有 一 个 mydomain 的 设 定 项 目 ， 这 个 项 目 默 认 会 取 
$myhostname 第 


党 


一 个 『.J 之 后 的 名 称 。 举例 来 说 上 头 设 定 完 毕 后 ， 预 设 的 mydomain 


就 是 
centos.vbird 路 ! 你 也 可 以 目 行 设 定 他 。 
Dmyorigin : 发 信和 时 所 显示 的 『 发 信 源 主机 J 项目 


这 个 项 目 在 设 定 『 邮 件 头 上 面 的 mail from 的 那个 地 址 1 ， 也 就 是 代表 
本 MTA 


传 出 去 的 信件 将 以 此 设 定 值 为 准 喔 ! 如 果 你 在 本 机 寄 信 时 起 记 加 上 


Mail from 


字样 的 话 ， 那么 就 以 此 值 为 准 了 。 默 认 这 个 项 目 以 $myhostname 为 主 
的 ， 例 如 : 


myorigin = $myhostname 
DJ inet_interfaces : 设 定 postfix 的 监听 接口 ( 极 重 要 ) 


在 预 设 的 情况 下 你 的 Postfix 只 会 监听 本 机 接口 的 lo (127.0.0.1) 而 已 ， 
如 


果 你 想 要 监听 整个 Internet 的 话 ， 请 开放 成 为 对 外 的 接口 ， 或 者 是 开放 


给 全 


部 的 接口 ， 常 见 的 设 定 方法 为 : inet interfaces = all 才 对 ! 由 于 如 果 有 
重 


复 设 定 项 目 时 ,会 以 最 晚 出 现 的 设 定 值 为 准 ， 所 以 最 好 只 保留 一 组 
inet_interfaces 的 设 定 喔 ! 
D inet_protocols : 设 定 postfix 的 监听 IP 协议 


net.giang@hotmail.com 


预 设 CentOS 的 postfix 会 去 同时 监听 IPv4, IPv6 两 个 版 本 的 IP， 如 果 你 
的 

网 络 环境 里 面 仅 有 IPv4 时 ， 那 可 以 直接 指定 inet_protocols = ipv4 就 会 
避 


免 看 到 :::1 之 类 的 IP 出 现 哟 |! 
D mydestination : 设 定 『 能 够 收 信 的 主机 名 4 ( 极 重 要 ) 


这 个 设 定 项 目 很 重要 喔 ! 因为 我 们 的 主机 有 非常 多 的 名 字 ， 那 么 对 方 
填写 的 mail 


to 到 底 要 写 哪 个 主机 名 字 我 们 才能 将 该 信件 收 下 ? 就 是 在 这 里 规范 
的 ! 也 就 是 

说 ， 你 的 许多 主机 名 当中 ， 仅 有 写 入 这 个 设 定 值 的 名 称 才 能 作为 email 
的 主机 


地 址 。 在 我 们 这 个 练习 当中 这 部 主机 有 三 个 名 字 ， 所 以 写法 为 : 


mydestination 


= $myhostname, localhost, linux.centos.vbird, ftp.centos.vbird 


如 采 你 想 要 将 此 设 定 值 移动 到 外 部 档案 ， 那 可 以 使 用 类 似 底下 的 作 
法 : 


mydestination = /etc/postfix/local-host-names ， 然 后 在 local-host-names 
里 面 将 可 收 信 的 主机 名 写 入 即 可 。 一 般 来 说 ， 不 建议 你 额外 建立 


local-host-names 这 个 档案 啦 ， 直接 写 入 main.cf 即 可 说 ! 特别 留意 的 
日 
是 ， 


如 果 你 的 DNS 里 头 的 设 定 有 MX 标志 的 话 ， 那 么 请 将 MX 指 癌 的 那个 
主机 名 一 


定 要 写 在 这 个 mydestination 内 ， 否则 很 容易 出 现 错误 讯 轧 喔 ! 一 般 来 
说 > 恒 


用 者 最 常 发 生 错 误 的 地 方 束 在 这 个 设 定 里 头 呢 ! 
mynetworks_style : 设 定 『 信 任 网 域 」 的 一 项 指标 


这 个 设 定 值 在 规定 【与 主机 在 同一 个 网 域 的 可 信任 客户 端 4 的 意思 1 
举例 来 说 ， 


鸟 哥 的 主机 卫 是 192.168.100.254， 如 果 我 相信 整个 局 域 网 络 内 


(192.168.100.0/24) 的 用 户 的 话 ， 那 我 可 规定 此 设 定 值 为 『 subnet 4 
呐 ! 不 


过 ， 一 般 来 说 ， 因 为 底下 的 mynetworks 会 取代 这 个 设 定 值 ， 所 以 不 设 
定 也 没 


有 如 采 要 设 定 的 话 ， 最 好 设 定 成 为 host 即 可 ( 亦 即 仅 信任 这 间 
MTA 


机 而 已 )。 
0 mynetworks : 规定 信任 的 客户 端 ( 极 重 要 ) 


你 的 MTA 能 不 能 帮忙 进行 Relay 与 这 个 设 定 值 最 有 关系 ! 举例 来 说 ， 
我 要 开放 


本 机 与 内 部 网 域 的 IP 时 ， 束 可 以 这 样 进行 设 定 : mynetworks = 
127.0.0.0/8, 


192.168.100.0/24。 如 果 你 想 要 以 /etc/postfix/access 这 个 档案 来 控制 


relay 的 用 户 时 ， 那 乌 哥 可 以 建议 你 将 上 述 的 数据 改写 成 这 样 : 


mynetworks = 


127.0.0.0/8, 192.168.100.0/24, hash:/etc/postfix/access 然后 你 只 要 再 建 


立 access 之 后 重 整 成 数据 库 后 ， 嘿 嘿 ! 就 能 够 设 定 Relay 的 用 户 吧 
Drelay_domains : 规范 可 以 帮忙 relay 的 下 一 部 MTA 主机 地 址 
相对 于 mynetworks 是 针对 信任 的 客户 端 4 而 设 定 的 ， 


relay_domains 则 | 


ba 【针对 下 游 MTA 服务 器 4 而 设 定 的 。 举 例 来 说 ， 如 果 你 这 首 
儿 走 


www.niki.centos.vbird 的 MX 主机 时 ， 那 你 就 得 要 在 relay_domains 设 
定 针 


对 整个 niki.centos.vbird 这 个 领域 的 目标 信件 进行 转 递 才 行 。 在 预 设 的 
情况 


下 ， 这 个 设 定 值 是 $mydestination 而 已 啦 。 
net.giang@hotmail.com 


你 必需 要 注意 的 『Postfix 预 设 并 不 会 转 递 MX 主机 的 信件 ， 意 思 就 
是 说 : 如 


果 你 有 两 部 主机 ， 一 部 是 上 游 的 MTAup ， 一 部 是 下 游 的 MIAdown ， 
而 MTAdown 


规范 的 MX 主机 是 MTAup， 由 22.1.2 谈 到 的 DNS 的 MX 设 定 值 与 信 
弟 


给 MTAdown 主机 的 信件 ， 都 会 先 经 过 


MTAup 来 转 弟 


人 ! 此 时 如 采 那 部 MTAup 没有 开局 帮 MTAdown 进行 relay 的 权限 
时 ， 那 么 


任何 传 给 MTAdown 的 信件 将 『 全 部 都 被 MTAup 所 退回 ! 从 此 
MTAdown 就 无 


法 收 到 任何 信件 了 。 


上 一 段 的 说 明 请 您 特别 再 想 一 想 ， 因 为 如 果 你 在 大 公司 服务 而 且 你 的 
公司 上 、 下 


游 均 有 mail server 时 ， 并 且 也 有 设 定 MX 的 状况 下 ， 照 曲 ! 这 个 


relay_domains 就 很 重要 啦 ! 上 游 的 MTA 主机 必需 要 启动 这 个 设 定 。 
一 般 来 说 


除非 你 是 某 部 MTA 主机 的 MX 源头 ， 否 则 这 个 设 定 项 目 可 以 名 略 不 设 
定 他 。 而 


如 果 你 想 要 帮 你 的 客户 端 转 递 信件 到 有 某 部 特定 的 MTA 主机 时 ， 这 个 设 
定 项 目 也 


是 可 以 设 定 的 啦 。 默认 请 您 保留 默认 值 即 可 。 
Dalias_maps : 设 定 邮件 别名 


束 古 设 定 邮 件 别名 的 设 定 项 目 ， 只 要 指定 到 正确 的 档案 去 即 可 ， 这 个 
设 定 值 可 以 


保留 默认 值 啊 : 


在 了 解 上 述 的 设 定 后 ， 以 马 哥 的 范例 来 看 的 话 ， 乌 哥 有 更 动 过 或 注 明 
重要 的 设 定 值 


以 及 相关 档案 是 这 样 处 理 的 : 

[root@www ~]# vim /etc/postfix/main.cf 
myhostname = www.centos.vbird <== 约 在 第 77 行 
myorigin = $myhostname <== 约 在 第 99 行 
inet_interfaces = all <== 约 在 第 114 行 ，117 行 要 批 


注 挥 


inet_protocols = ipv4 <== 约 在 第 120 行 

mydestination = $myhostname, localhost.$mydomain, localhost, 
linux.centos.vbird, ftp.centos.vbird <== 约 在 第 165,166 行 
mynetworks = 127.0.0.0/8, 192.168.100.0/24, hash:/etc/postfix/access 
<== 约 在 269 行 

relay_domains = $mydestination <== 约 在 第 299 行 

alias_maps = hash:/etc/aliases 

alias_database = hash:/etc/aliases <== 约 在 第 389, 400 行 

# 其 他 的 设 定 值 束 先 保留 默认 值 即 可 啊 ! 

[root@www ~]# postmap hash:/etc/postfix/access 

[root@www ~]# postalias hash:/etc/aliases 

net.giang@hotmail.com 
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因为 main.cf 当中 我 们 有 额外 加 入 两 个 外 部 配置 文件 (mynetworks 及 


alias_maps) ， 


所 以 才 会 额外 进行 postmap 及 postalias。 然 后 准备 来 启动 啦 ! 你 可 以 这 
样 处 理 喔 : 


#1. 先 检 查 配 置 文件 的 语法 是 否 有 借 误 


[root@www ~]# /etc/init.d/postfix check <== 没 有 讯 尽 ， 表 示 没 有 问题 。 


# 2. 局 动 与 观察 port number 


[root@www ~]# /etc/init.d/postfix restart 


[root@www ~]#netstat -tlunp | grep ':25' 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 

13697/master 


很 简单 吧 ! 这 样 就 设 定 受 当 了 。 假 设 你 的 防火 墙 已 经 处 理 完毕 ， 那 你 
的 Postfix 已 经 


可 以 开放 客户 站 进行 转 递 ， 并 且 也 可 以 收受 信件 吵 ! 不 过 ， 到 发 在 预 
设 的 情况 下 我 们 的 


postfix 可 以 收 下 哪些 信件 ? 又 可 以 针对 哪些 设 定 值 的 内 容 进行 转 弟 
呢 ? 这 就 得 要 参 


考 下 一 小 节 的 说 明了 。 
22.2.5 信件 传送 流程 与 收 信 、relay 等 重要 观念 


我 想 ， 您 对 于 MTA 的 设 定 与 收发 信件 应 该 有 一 定 程度 的 概念 了 ， 不 过 
要 妥善 设 定 


好 你 的 MTA 时 ， 尤其 是 想 要 了 人 解 到 整 部 MTA 是 如 何 收 、 发 信件 时 ， 
你 最 好 还 是 要 知 


道 『 我 这 部 MTA 如 何 接受 来 源 主 机 所 传 来 的 信件 ， 以 及 将 信件 转 递 到 
下 一 部 主机 去 4 


的 整个 流程 啊 。 一 般 来 说 一 封 邮 件 传送 会 经 过 许多 的 流程 为 : 


1. 送信 端 与 收 信 端 两 部 主机 间 会 移 经 过 一 个 握手 (ehlo) 的 阶段 ， 此 时 
送信 站 


被 记录 为 发 信 来 源 (而 不 是 mail from)。 通过 握手 后 束 可 以 进行 信件 标 
> 


(header) 的 传送 ; 


0 
端 


机 ， 且 该 名 称 符合 mydestination 的 设 定 ， 则 该 信件 会 开始 被 收 下 至 队 
列 ， 并 


进一步 送 到 mailbox 当中 ;， 者 不 符合 mydestination 的 设 定 ， 则 终止 联 
机 且 


不 会 进行 信件 内 容 (body) 的 传送 ; 
3. 各 Mail to: 主机 名 非 为 收 信 端 本 吴 ， 则 开始 进行 转 递 (relay) 的 分 析 。 
4. 转 递 过 程 诈 先 分 析 该 信件 的 来 源 是 否 符合 信任 的 客户 端 (这 个 客户 端 


J 
又 1 所 记录 的 发 信 主 机 喔 )， 亦 即 来 源 是 否 符合 mynetworks 的 设 定 值 ， 
各 符合 


则 开始 收 下 信件 至 队列 中 ， 并 等 待 MDA 将 信件 再 转 递 出 去 ， 帮 不 符 


mynetworks 


则 继续 下 一 步 ; 


net.qiang@Ohotmail.com 


header 
A 二 


Mail to: hostname 


:机 人 名称 是 否 需 自 


| 


主机 名 称 是 否 符合 


ydestination 设 


| 
| mailbox 


A 


Relay 


阅 mynetwoks 而 


婉 包 信件 到 下 一 部 MTA 


目标 是 否 明 


relay_domans 


5. 分 析 信 件 来 源 或 目标 是 否 符合 relay_domains 的 设 定 ， 若 符合 则 信件 
将 被 


收 下 至 队列 ， 并 等 待 MDA 将 信件 再 转 递 出 去 ; 


则 终止 联机 ， 并 不 会 接 
学 


内 容 数 据 的 。 
整个 流程 有 点 像 底 下 这 样 : 
图 22.2-1、 在 本 机 MTA 当中 的 信件 分 析 过 程 


也 就 是 说 标 头 分 析 通 过 后 ， 你 的 信件 内 容 才 会 开始 上 传 到 主机 的 队 
列 ， 然 后 透 过 


MDA 来 处 理 该 信件 的 流 同 。 而 不 是 将 信件 完整 的 传送 到 主机 后 才 开 始 
分 析 的 喔 ! 这 个 


得 要 特别 注意 呐 ! 而 透 过 上 述 的 流程 后 ， 在 暂 不 考虑 access 以 及 
MDA 的 分 析 机 制 中 ， 


一 部 MTA 想 要 正确 的 收 、 发 信件 时 ， 电 子 邮 件 必需 要 符合 : 

0 收 信 方 面 : 必需 符合 底下 需求 : 

1. 发 信 端 必需 符合 $inet_interfaces 的 设 定 ; 

2. 信件 标 头 之 收 件 者 主机 名 必需 符合 $mydestination 的 设 定 ， 或 者 
收 件 主机 名 需要 符合 $virtual_maps (与 虚拟 主机 有 关 ) 的 设 定 ; 


net.giang@hotmail.com 

名 

0 转 递 方面 (Relay): 必需 符合 底下 需求 : 

1. 发 信 端 必需 符合 $inet_interfaces 的 设 定 ; 

2. 发 信 端 来 源 必 需 为 $mynetworks 的 设 定 ; 发 信 端 来 源 或 信件 标 头 之 
收 件 者 主机 名 符合 $relay_domains 之 设 定 内 容 。 


同样 的 原理 与 想法 你 可 以 将 他 用 在 sendmail 的 设 定 当中 喔 ! 人 人! 不 过 
很 多 垃圾 


了 由 这 个 预 设 的 收发 管道 来 发 送 ， 怎么 说 呢 ? 请 看 后 下 的 分 
开 : 


例题 : 


在 我 的 主机 上 面 竟然 发 现 这 样 的 广告 信 ， 那 束 是 了 利用 我 的 主机 发 送 


口 


信 给 我 目 己 ! 4 为 什么 这 样 也 可 以 呢 ? 


答 : 


首先， 你 必需 要 熟悉 一 下 上 壕 的 流程 ， 在 第 2 个 步 又 当中 我 们 知道 ， 
当 


主机 收 到 一 封 信 且 这 封 信 的 目标 是 目 己 ， 并 且 也 符合 mydestination 的 
设 定 


时 ， 该 信件 就 会 被 收 下 来 而 不 必 验 证 客户 端 是 否 来 目 于 mynetworks 
于 坊 所 以 


说 ， 任 何人 都 可 以 用 这 个 流程 来 寄 信 给 你 啊 。 不 过 ， 你 的 MTA 并 不 是 


open 
relay 啦 ， 不 会 帮 人 家 发 送 广告 信 的 ， 不 用 担心 。 

例题 : 

我 的 主机 明明 没有 Open relay ， 但 很 多 其 他 的 MTA 管理 员 发 信 给 我 ， 


和 
账号 啊 ! 


这 是 怎么 回 事 ? 
答 : 


人 2 ， 确 认 该 封 信 能 人 否 被 收 下 来 与 发 信 端 及 
信 端 主机 和 名 有 关 。 而 我 们 知道 在 邮件 的 header 里 面 还 有 一 个 mail from 
的 


标 头 设 定 项 目 ， 这 个 标 头 设 定 是 我 们 在 查阅 邮件 时 看 到 的 工 回 邮 地 
| nll es 芝 人 


而 且 他 与 收发 信件 的 数据 无 关 ! 所 以 ， 您 应 该 要 
告知 天 


MTA 管理 员 ， 请 他 提供 详细 的 log 数据 ， 才 能 够 判断 该 封 信 和 是否 由 你 
的 主机 


所 发 送出 去 的 。 


一 般 来 说 ， 目 前 的 广告 业者 很 多 都 是 利用 这 种 其 敌 的 方式 来 处 理 的 ， 
所 以 您 必 


需要 请 对 方 提供 详细 的 log file 数据 以 供 查 验 才 行 喔 ! 
22.2.6 设 定 邮 件 主机 权限 与 过 滤 机 制 /etc/postfix/access 


基本 上 ， 指 定 了 Postfix 的 mynetworks 的 信任 来 源 就 能 够 让 使 用 者 
relay 了 ， 


不 过 如 果 你 依照 岛 哥 上 述 的 方式 (22.2.4) 来 设 定 你 的 mynetworks 的 
话 ， 那 么 我 们 还 


可 以 利用 access 这 个 档案 来 额外 管理 我 们 的 信件 过 滤 呢 ! 基本 的 access 


语法 为 


net.giang@hotmail.com 

名 

规范 的 范围 或 规则 Postfix 的 动作 (范例 如 下 ) 
IP/ 部 分 IP/ 主 机 名 /Email 等 OK/REJECT 


假设 你 想 要 让 120.114.141.60 还 有 .edu.tw 可 以 使 用 这 部 MTA 来 转 递 信 
件 ， 且 不 许 


avcom 以 及 192.168.2.0/24 这 个 网 域 的 使 用 时 ， 可 以 这 样 做 : 


[root@www ~]# vim /etc/postfix/access 


120.114.141.60 


OK 


.edu.tw 


OK 


dVv.COom 


REJECT 


192.168.2. 


REJECT 


# OK 表示 可 接受 ， 而 REJECT 则 表示 拒绝 。 

[root@www ~]# postmap hash:/etc/postfix/access 

[root@www ~]# 1s -| /etc/postfix/access* 

-TW-T--T--. 1 root root 19648 2011-08-09 14:05 /etc/postfix/access 
-IrW-I--I--. 1 root root 12288 2011-08-09 14:08 /etc/postfix/access.db 
# 你 会 发 现 有 个 access.db 的 档案 才 会 同步 更 新 ! 

这 才 是 postfix 实际 读 取 

的 ! 


用 这 个 档案 设 定 最 大 的 好 处 是 ， 你 不 必 重 新 局 动 postfix， 只 要 将 数据 
库 建立 好 ， 立 


刻 束 生效 了 ! 这 个 档案 还 有 其 它 的 进 阶 功能 ， 你 可 以 目 行 进入 该 档案 
查阅 惑 知道 了 。 但 


是 进 阶 设 定 还 需要 main.cf 内 的 其 他 参数 有 设 定 才 行 ! 如 果 只 有 之 前 
$mynetworks 的 


设 定 值 时 ， 你 只 能 利用 access.db 的 方式 来 开放 relay 的 能 力 而 已 。 不 
过 ， 至 少 他 可 


以 让 我 们 的 设 定 简化 嘿 ! 信人 人 
22.2.7 设 定 邮 件 别 名 : /etc/aliases, ~/.forward 


想 一 想 ， 你 的 主机 里 面 不 是 有 很 多 系统 账号 吗 ? 例如 named, apache， 
mySdq]...， 


那么 以 这 些 账号 执行 的 程序 大 有 讯 县 发 生 时 ， 他 会 将 该 讯息 以 email 的 
方式 传 给 谁 ? 


应 该 束 是 传 给 named, apache... 等 账号 目 己 吧 。 不 过 ， 你 会 发 现 其 实 这 
些 系统 账号 


的 信息 部 是 丢 给 root! 这 和 是 因为 其 他 的 系统 账号 并 没有 密码 可 登入 ， 
目 然 也 整 无 法 接 


收 任何 邮件 了 ， 所 以 大 有 邮件 瑟 给 系统 管理 员 哎 。 不 过 ， 咀 们 的 MTA 
皇 么 知道 这 些 信 


件 要 传 给 root ? 这 就 得 要 aliases 这 个 邮件 别名 配置 文件 来 处 理 啦 | 
邮件 别名 配置 文件 : /etc/aliases 


net.giang@hotmail.com 
在 你 的 /etc/aliases 档案 内 ， 你 会 发 现 类 似 故 下 的 字样 : 
[root@www ~ |]# vim /etc/aliases 


mailer-daemon: postmaster 


postmaster: Toot 
bin: root 
daemon: root 
.…( 底 下 省 略 ).… 


左边 是 『 别 各 J 『 实 际 存在 的 使 用 者 账号 或 者 是 email 
address」 ! 就 是 透 


这 个 设 定 值 ， 所 以 让 我 们 可 以 将 所 有 系统 账号 所 属 的 信件 通通 丢 给 root 
啊 ! 好 ， 我 们 


现在 将 他 扩大 化 ， 假 如 你 的 MTA 内 有 一 个 实际 的 账号 名 称 为 dmtsai ， 
这 个 使 用 着 还 


想 要 使 用 dermintsai 这 个 名 称 来 收 他 的 信件 ， 那么 你 可 以 这 样 做 : 


[root@www ~]# vim /etc/aliases 

dermintsai: dmtsai 

# 左边 是 你 额外 所 设 定 的 ， 石 边 则 是 实际 接收 这 封 信 的 账号 ! 
[root@www ~]# postalias hash:/etc/aliases 

[root@www ~]# 1 /etc/aliases* 

-rTW-I--I--. 1 root root 1535 2011-08-09 14:10 /etc/aliases 
-rTW-I--I--. 1 root root 12288 2011-08-09 14:10 /etc/aliases.db 


从 此 之 后 不 论 是 dmtsai@www.centos.vbird 还 是 
dermintsai@www.centos.vbird 都 


会 将 信件 丢 到 /var/spool/mail/dmtsai 这 个 信箱 当中 喔 ! 很 方便 吧 ! 
D 


/etc/aliases 实际 应 用 一 : 让 一 般 账号 可 接收 root 的 信 


假设 你 是 系统 管理 员 ， 而 你 常用 的 一 般 账号 为 tmtsai， 但 是 系统 出 错 
时 的 重要 信 


件 都 是 寄 给 root 啊 ， 仿 俩 root 的 信件 不 能 被 直接 读 取 ..…. 所 以 说 ， 如 来 
能 够 将 『 给 


root 的 信也 转 寄 一 份 给 dmtsai J 的话 ， 那 束 太 好 了 ! 可 以 达到 吗 ? 当 
然 可 以 ! 你 可 


以 这 样 做 : 

[root@www ~]# vim /etc/aliases 

root: 

root,dmtsai <== 乌 哥 建 议 这 种 写法 ! 

# 信件 会 传 给 root 与 dmtsai 这 两 个 账号 ! 
root: 

dmtsai <== 如 果 dmtsai 不 再 是 管理 员 怎 办 ? 


# 从 此 root 收 不 到 信 了 ， 都 由 dmtsai 来 接受 


net.giang@hotmail.com 


[root@www ~]# postalias hash:/etc/aliases 


上 面 那 两 行 你 可 以 择 一 使 用 ， 看 看 root 要 不 要 保留 他 的 信件 都 可 以 
的 ! 鸟 哥 建议 使 用 


第 一 种 方式 ， 因 为 这 样 一 来 ， 你 的 dmtsai 可 以 收 到 root 的 信 ， 且 root 
上 自己 入 本 


以 『 备 份 4 一 份 在 他 的 信箱 内 ， 比 较 安 全 啦 ! 
吕 
/etc/aliases 实际 应 用 二 : 发 送 群 组 寄 信 功能 


想象 一 个 情况 ， 如 果 你 是 学 校 的 老师 ， 你 虽然 只 带 一 班 导 生 ， 但 是 
【每 年 都 一 班 4 


时 ， 如 条 有 一 天 你 要 将 信 发 给 所 有 的 学 生 ， 那 在 写 email 的 标 头 时 ， 
可 能 融会 头角 红 


的 了 (因为 联络 人 名 单 太 多 了 )! 这 个 时 候 你 可 以 这 样 做 : (假设 主机 上 
学 生 的 账号 为 


std001, std002... ) 

[root@www ~]# vim /etc/aliases 
student2011: 
std001,std002,std003,std004... 


[root@www ~]# postalias hash:/etc/aliases 


如 此 一 来 只 要 寄 信 到 这 部 主机 的 student2011 这 个 不 存在 的 账号 时 ， 该 
封 信 束 会 个 分 

别 存 到 各 个 账号 里 头 去 ， 管理 上 面 征 否 很 方便 啊 ! 和 人 人 ^! 事实 上 ， 邮 
件 别名 除了 填写 


目 己 主机 上 面 的 实体 用 户 之 外 ， 其 实 你 可 以 填写 外 部 主机 的 email 喔 ! 
例如 你 要 将 本 


机 的 dermintsai 那个 不 存在 的 用 户 的 信件 除了 传 给 dmtsai 之 外 ， 
外 传 到 


dmtsai@mail.niki.centos.vbird 上 时， 可 以 这 样 做 : 


A 
问 


[root@www ~]# vim /etc/aliases 

dermintasi: dmtsai, dmtsai@mail.niki.centos.vbird 

[root@www ~]# postalias hash:/etc/aliases 

很 方便 吧 ! 更 多 的 功能 惑 期 竺 您 目 行 发 握 哆 | 

Tips: 

在 这 本 书 里 面 ，dmtai 的 家 目录 并 非 在 正规 的 /home 底下 ， 而 是 放 
置 于 /winhome 当中 (参考 第 十 六 章 的 练习 )， 所 以 实际 操作 mail 
指令 会 出 错 ! 这 是 因为 SELinux 的 关系 ! 请 参考 

/varlog/messages 底下 的 建议 动作 去 处 理 即 可 ! 

0 

net.qiang@hotmail.com 

名 

个 人 化 的 邮件 转 递 : ~/.forward 

时 然 /etc/aliases 可 以 帮 有 我 们 达到 邮件 别名 设 定 的 好 处 ， 不 过 /etc/aliases 
元 


只 有 root 才能 修改 的 档案 权限 ， 那 我 们 一 般 使 用 者 如 采 也 想 要 进行 邮 
件 转 递 时 ， 该 


如 何 是 好 ? 没关系 ， 可 以 透 过 目 己 家 目录 下 的 .forward 这 个 档案 喔 ! 
举例 来 说 ， 我 


的 dmtsai 这 个 账号 所 接收 到 的 信件 除了 目 己 要 保留 一 份 之 外 ， 还 要 传 
给 本 机 上 的 


vbird 以 及 dmtsai@mail.niki.centos.vbird 时 ， 那 你 可 以 这 样 做 设 定 : 
[dmtsai@www ~]$ vim .forward 


# 注意 ! 我 现在 的 身份 现在 是 dmtsai 这 个 一 般 身份 ， 而 且 在 他 的 家 目 
录 下 | 


dmtsai 

vbird 

dmtsai@mail.niki.centos.vbird 
[dmtsai@www ~]$ chmod 644 .forward 


记得 这 个 档案 内 容 是 一 行 一 个 账号 (或 email) ， 而 且 权限 方面 非常 重 
要 : 


0 该 档案 所 在 用 户 家 目录 权限 ， 其 group、other 不 可 以 有 写 入 权限 。 
0 .forward 档案 权限 ， 其 group、other 不 可 以 有 写 入 权限 。 

如 此 一 来 这 封 信 就 会 开始 转 递 嚼 ! 有 趣 吧 ! 和信 

22.2.8 察看 信件 队列 信息 : postqueue, mailq 


说 实话 ， 设 定 到 此 为 止 咱们 的 postfix 应 该 可 以 应 付 一 般 小 型 企业 之 


mail 


server 的 用 途 了 ! 不 过 ， 有 的 时 候 毕 苋 因 为 网 络 的 问题 或 者 是 对 方 主 
机 的 问题 ， 可 能 


导致 示 些 信件 无 法 送出 而 被 暂 存 在 队列 中 ， 那 我 们 如 何 了 解 队 列 当 中 
有 哪些 邮件 呢 ? 


还 有 ， 在 队列 当中 等 待 送出 的 信件 是 如 何 送出 的 呢 ? 


0 如 果 该 封 信 在 五 分 钟 之 内 无 法 寄 出 ， 则 通常 系统 会 发 出 一 封 『 警 告 
信 J 给 原 


发 信者 ， 告知 该 封 邮件 尚 无 法 被 寄 送 出 去 ， 不 过 ， 系 统 仍 会 持续 的 学 
试 寄 出 访 


封 邮件 ; 
0 如 采 在 四 小 时 候 仍 无 法 寄 出 ， 系 统 会 再 次 的 发 出 警告 信 给 原 发 信者 ; 


0 如 果 持 续 进 行 五 天 都 无 法 将 信件 送出 ， 那 么 该 封 邮件 就 会 退回 给 原 发 
信者 了 |! 


当然 啦 ， 某 些 MTA 已 经 取消 了 警告 信 的 寄 发 ， 不 过 原则 上 ， 如 果 信 件 
无 法 实时 寄 

出 去 的 话 MTA 还 是 会 努力 党 试 5 天 的 ， 如 果 接 下 来 的 5 天 都 无 法 送出 
时 ， 才 会 将 原 

信件 退回 给 发 信者 。 一 般 来 说 ， 如 果 MTA 设 定 正确 且 网 络 没 有 问题 
时 ， 应 该 是 不 可 能 


会 有 信件 被 放 在 队列 当中 而 传 不 出 去 的 ， 所 以 如 果 发 现 有 信件 在 队列 
时 ， 当 然 得 要 仔 
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细 的 瞧 一 瞧 嗓 ! 检查 队列 内 容 的 方法 可 以 使 用 mailqg ， 也 可 以 使 用 


postqueue -p 来 

检查 的 : 

[root@www ~]# postqueue -p 
Mail queue is empty 


寿 您 的 邮件 如 此 显示 时 ， 茶 喜 您 ， 没 有 什么 问题 邮件 在 队列 当中 。 不 
过 如 琳 你 将 postfix 


关闭， 并 笑 试 发 一 封 信 给 任何 人 ， 那 束 可 能 会 出 现 如 下 的 画面 啦 : 
[root@www ~]# /etc/init.d/postfix stop 
[root@www ~]# echo "test" | mail -s "testing queue" root 
[root@www ~]# postqueue -p 
postqueue: warning: Mail System is down -- accessing queue directly 
-Queue ID- --Size-- ---- Arrival Time---- -Sender/Recipient------- 
SCFBB21DB 284 Tue Aug 9 06:21:58 root 
root 
-- 0 Kbytes in 1 Request. 

# 第 一 行 束 说 明了 无 法 寄 出 的 原因 为 Mail system is down 啦 ! 

# 然后 才 出 现 无 法 寄 出 的 信件 信息 ! 包括 来 源 与 目标 喔 ! 
输出 的 信息 主要 为 : 


DU Queue ID: 表示 此 封 邮 件 队列 的 代表 号 (ID)， 这 个 号 码 是 给 MTA 看 
的 ， 我 


们 看 不 懂 不 要 紧 ; 
0 Size : 这 封 信和 有 多 大 容量 (bytes) 的 意思 ; 


DArrival Time: 这 封 信 什 么 时 候 进 入 队列 的 ， 并 且 可 能 会 说 明 无 法 立 
即 传送 


出 去 的 原因 
D Sender/Recipient: 送信 与 收 信者 的 电子 邮件 吗 


事实 上 这 封 信 是 放置 在 /var/spool/postfix 里 面 ， 由 于 信件 内 容 已 经 编码 
为 给 


MTA 看 的 资料 排列 ， 所 以 你 可 以 使 用 postcat 来 读 出 原 信 件 的 内 容 
喔 ! 例如 这 样 做 


(注意 看 档 名 与 Queue ID 的 对 应 1 ): 
[root@www ~]# cd /var/spool/postfix/maildrop 

[root@www maildrop]# postcat 5SCFBB21DB <== 这 个 档 名 就 是 Queue ID 
*** ENVELOPE RECORDS 5CFBB21DB *** <== 说 明 队 列 的 编号 啊 
message_arrival_ time: Tue Aug 9 14:21:58 2011 

named_attribute: rewrite_context=local <== 分 析 named (DNS) 的 特性 来 
目 本 机 

sender _fullname: root <== 发 信者 的 大 名 与 email 

sender: root 

recipient: root <== 束 是 收 件 者 哎 ! 
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*##k MESSAGE CONTENTS 5CFBB21DB *** <== 底 下 则 是 信件 的 实际 
内 容 啊 ! 


Date: Tue, 09 Aug 2011 14:21:58 +0800 
To: root 


Subject: testing queue 


User-Agent: Heirloom mailx 12.4 7/29/08 
MIME-Version: 1.0 

Content-Type: text/plain; charset=us-ascii 
Content-Transfer-Encoding: 7bit 

test 

*** HEADER EXTRACTED 5CFBB21DB *** 
*** MESSAGE FILE END 5CFBB21DB *** 


如 此 一 来 你 就 知道 目前 我 们 的 MTA 主机 有 多 少 未 送出 的 信件 ， 还 有 未 
送出 信件 的 内 容 


你 也 可 以 追踪 的 到 了 ! 很 不 错 ， 对 吧 ! 不 过 ， 如 果 你 想 要 我 们 的 


postfix 立刻 尝试 将 


这 些 在 队列 当中 的 信件 寄 出 去 ， 那 又 该 如 何 是 好 ? 你 有 儿 个 作法 啦 ， 
可 以 重新 局 动 


postfix ， 也 可 以 透 过 postfix 的 动作 来 处 理 ， 例 如 : 


[root@www ~]# /etc/init.d/postfix restart 


[root@www ~]# postfix flush 


鸟 哥 个 人 比较 建议 使 用 postfix flush 嘿 ! 自行 参考 看 看 先 ! 和 作 人! 接 下 
来 ， 让 我 们 


先 来 处 理 一 下 收 信 的 MRA 服务 做 ， 搞定 后 再 来 处 理 客户 端的 用 户 接 
口 吧 ! 


22.2.9 防火 墙 设置 


因为 整个 MTA 主要 是 透 过 SMTP (port 25) 进行 信件 传送 的 任务 ， 
此 ， 针 对 


postfix 来 说 ， 只 要 放行 port 25 即 可 哟 ! 修改 一 下 iptables.rule 吧 ! 
[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 找 到 压 下 这 一 行 ， 并 且 将 它 批注 拿 掉 ! 

iptables -A INPUT -p TCP -i $EXTIF --dport 25 --sport 1024:65534 -j 
ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


这 样 束 放行 整个 Internet 对 您 服务 器 的 port 25 的 读 取 吗 ! 简单 ! 搞 
定 | 
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22.3 MRA 服务 器 : ”dovecot 设 定 


除非 你 想 要 架设 webmail 在 你 的 MIA 上 头 ， 否 则 ， 你 的 MTA 收 下 了 
信件 ， 你 总 


得 连 上 MTA 去 收 信 吧 ? 那么 收 信 要 用 的 是 哪个 通讯 协议 ” 束 古 22.1.4 
里 面谈 到 的 


pop3 以 及 imap 路! 这 束 是 所 谓 的 MRA 服务 右 ! 我 们 的 CentOS 6.x 使 
用 的 是 


dovecot 这 个 软件 来 达成 MRA 的 相关 通讯 协议 的 ! 但 由 于 pop3/imap 
还 有 数据 加 密 的 


版 本 ， 故 下 我 们 殊 依 据 是 否 加 密 (SSL) 来 设 定 dovecot 吧 ! 


22.3.1 基础 的 POP3/IMAP 设 定 


启动 单纯 的 pop3/imap 是 很 简单 的 啦 ， 你 得 要 先 确 定 已 经 安装 了 
dovecot 这 个 软 


件 。 而 这 个 软件 的 配置 文件 只 有 一 个 ， 束 是 /etc/dovecot/dovecot.conf 。 
我 们 仅 要 


局 动 pop3/imap 而 已 ， 所 以 可 以 这 样 设 定 即 可 : 
[root@www ~]#yum install dovecot 


[root@www ~]# vim /etc/dovecot/dovecot.conf 


# 找 到 底下 这 一 行 ， 大 约 是 在 第 25 行 左 右 的 地 方 ， 复 制 新 增 一 行内 容 
如 让 


#protocols = imap pop3 lImtp 

protocols = imap pop3 

[root@www ~]# vim /etc/dovecot/conf.d/10-ssl.conf 
ssl = no <== 将 第 6 行 改 成 这 样 ! 


改 完 之 后 你 残 可 以 局 动 dovecot 史 ! 并 且 检 查看 看 port 110/143 
(pop3/imap) 有 没 


有 局 动 啊 ? 

[root@www ~]# /etc/init.d/dovecot start 

[root@www ~]# chkconfig dovecot on 

[root@www ~]# netstat -tInp | grep dovecot 

Proto Recv-Q Send-Q Local Address Foreign Address State 
PID/Program name 


tcp 0 0:::110 :::* LISTEN 


14343/dovecot 
tcp 00 :::143 :::* LISTEN 
14343/dovecot 


耶 ! 搞定 ! 这 样 束 可 以 提供 使 用 着 来 收 信 件 啦 ! 真 征 不 错 啊 ! 不 过 记 
得 喔 ， 这 里 只 提供 


基本 的 明码 pop3/imap 传输 而 已 ， 如 果 想 要 启动 其 他 如 pop3s (传输 加 
密 机 制 ) 协议 


时 ， 束 得 要 额外 的 设 定 哆 ! 
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22.3.2 加 密 的 POP3s/IMAPs 设 定 


如 采 担 心 数据 在 传输 过 程 会 被 安 了 到， 或 者 是 你 的 登入 信息 (账号 与 密 
码 ) 在 使 用 


pop3/imap 时 会 被 窃听 ， 那 么 这 个 pop3s/imaps 就 显 的 重要 啦 ! 与 之 前 
的 Apache 相 


似 的 ， 其 实 我 们 都 是 透 过 openssl 这 个 软件 提供 的 SSL 加 密 机 制 来 进行 
数据 的 加 密 传 

输 。 方 式 很 简单 呢 ! 预 设 的 情况 下 ，CentOS 已 经 提供 了 SSL 和 凭证 范例 
文件 给 我 们 使 用 

了 。 如 果 你 一 点 都 不 想 要 使 用 预 设 的 凭证 ， 那 么 我 们 束 来 自己 建 一 个 
吧 ! 


#1. 建立 凭证 : 到 系统 提供 的 /etc/pki/tls/certs/ 目录 下 建立 所 需要 的 


pem 


凭证 档 ; 

[root@www ~]# cd /etc/pki/tls/certs/ 

[root@www certs|# make vbirddovecot.pem 
…( 前 面 省 略 )..… 

Country Name (2 letter code) [XX]:TW 

State or Province Name (full name) []:Taiwan 

Locality Name (eg, city) [Default City]:Tainan 
Organization Name (eg, company) [Default Company Ltd]:KSU 
Organizational Unit Name (eg, Section) []:DIC 

Common Name (eg, your name or your server's hostname) 
[J:www.centos.vbird 


Email Address []:dmtsai@www.centos.vbird 


# 2. 因为 担心 SELinux 的 问题 ， 所 以 建议 将 pem 档案 放置 到 系统 默认 
的 目 


采 去 较 住 ! 

[root@www certs|# mv vbirddovecot.pem ../../dovecot/ 

[root@www certs]# restorecon -Rv ../../dovecot 

#3. 开始 处 理 dovecot.conf， 只 要 pop3s, imaps 不要 明码 传输 的 咯 ! 
[root@www certs]# vim /etc/dovecot/conf.d/10-auth.conf 


disable_plaintext_auth = yes <== 第 9 行 改 成 这 样 ! 取消 批注 ! 


[root@www certs]# vim /etc/dovecot/conf.d/10-ssl.conf 

ss] = required <== 第 6 行 改 成 这 样 

ssl_cert = </etc/pki/dovecot/vbirddovecot.pem <==12, 13 行 变 这 样 
SS]_key = </etc/pki/dovecot/vbirddovecot.pem 

[root@www certs]# vim /etc/dovecotconf.d/10-masterconf 

inet_listener imap { 

port = 0 <== 15 行 改 成 这 样 

} 

inet_listener pop3 { 

net.giang@hotmail.com 

2 

port = 0 <== 36 行 改 成 这 样 

} 

#4. 处 理 人 额外 的 mail_location 设 定 值 ! 很 重要 ! 否则 网 络 收 信 会 失败 : 
[root@www certs]# vim /etc/dovecot/conf.d/10-mail.conf 

mail_location = mbox:~/mail:INBOX=/var/mail/%u <== 第 30 行 改 这 样 
# 5. 重新 局 动 dovecot 并 且 观 察 port 的 变化 : 

[root@www certs]# /etc/init.d/dovecot restart 

[root@www certs]# netstat -tlnp | grep dovecot 


Proto Recv-Q Send-Q Local Address Foreign Address State 


PID/Program name 

tcp 0 0 :::993 :::* LISTEN 
14527/dovecot 

tcp 0 0 :::995 :::* LISTEN 
14527/dovecot 


最 终 你 看 到 的 993 是 imaps 而 995 则 是 pop3s 嘿 ! 这 样 一 来 ， 你 收 信 的 
时 候 ， 输 入 


的 账号 密码 就 不 怕 被 窃听 了 ! 反正 是 加 密 后 的 资料 嘿 ! 很 简单 吧 | 
22.3.3 防火 墙 设置 


因为 上 面 的 练习 中 ， 我 们 将 pop3/imap 关闭 ， 转 而 打开 pop3s/imaps 
了 ， 因 此 防 


火 墙 局 动 的 塌 口 会 不 一 样 ! 请 依据 您 实际 的 案例 来 设 定 你 所 需要 的 防 
火 墙 才 好 。 我 们 


这 里 主要 是 开放 993, 995 两 个 埋 口 哆 ! 处 理 的 方法 与 22.2.9 相当 类 
似 : 


[root@www ~]# vim /usr/local/virus/iptables/iptables.rule 

# 大 约 在 180 行 左 右 ， 新 增 抵 下 两 行 去 |! 

iptables -A INPUT -p TCP -i $EXTIF --dport 993 --sport 1024:65534 -j 
ACCEPT 

iptables -A INPUT -p TCP -i $EXTIF --dport 995 --sport 1024:65534 -j 
ACCEPT 


[root@www ~]# /usr/local/virus/iptables/iptables.rule 


如 果 你 的 pop3/imap 还 是 决定 不 加 密 的 话 ， 请 将 上 面 的 993/995 改 成 
143/110 即 可 ! 
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22.4 MUA 软件 ， 客户 剖 的 收发 信和 软件 
设 定 Mail server 不 是 拿 来 好 看 的 ， 当 然 是 要 好 好 的 应 用 他 唉 ! 应 用 


mail server 


有 两 种 主要 的 方式 ， 你 可 以 直接 登入 Linux 主机 来 操作 MTA ， 当 然 也 
可 以 透 过 客户 站 


的 MUA 软件 来 收发 信件 ， 夺 下 我 们 分 别 介 绍 这 两 种 方式 哆 ! 
22.4.1 Linux mail 


0 
那 束 是 


T mail 」 这 个 指令 。 这 个 指令 是 由 mailx 这 个 软件 所 提供 的 ， 所 以 您 
得 要 先 安装 这 


个 软件 才 行 。 另 外 ， 由 于 mail 是 Linux 系统 的 功能 ， 所 以 即使 你 的 
port 25 (smtp) 


没有 启动 ， 他 还 是 可 以 使 用 的 ， 只 是 该 封 邮 件 就 只 会 被 放 到 队列 ， 而 
无 法 寄 出 去 虽 ! 和 A! 


奈 下 我 们 来 谈 一 谈 最 简单 的 mail 用 法 吧 
0 
用 mail 直接 编辑 文字 邮件 与 寄 信 


mail 的 用 法 很 简单 ， 职 是 利用 『 mail [email address] 4 的 方式 来 将 信件 


己 


去 ， 那个 [email address] 可 以 是 对 外 的 邮件 地 址 ， 也 可 以 是 本 机 的 账 
号 。 如 果 是 本 


机 账号 的 话 ， 可 以 直接 加 账号 名 称 即 可 。 例如: 『 mailrootJ 或 T 


mail 


somebody(@his.host.name 4 。 如果 是 对 外 寄 信 的 时 候 ， 信件 预 设 的 『 
Mail from J 


就 会 填写 main.cf 内 那个 myorigin 变数 的 主机 名 嘿 ! 先 来 试看 看 吧 ! 
寄 给 


dmtsai@www.centos.vbird 先 : 

[root@www ~]# mail dmtsai@www.centos.vbird 
Subject: Just test <== 这 里 填写 信件 标题 

This is a test email. <== 底 下 为 信件 的 内 容 ! 

bye bye ! 

. <== 注 意 ， 这 一 行 只 有 小 数 点 ! 代表 结束 输入 之 


! 


Els 


、 以 将 信件 寄 出 去 了 ! 另外 ， 早 期 的 mail server 是 可 以 接受 IP 
举 


例 来 说 : mail dmtsai@[192.168.100.254] ， 记 得 IP 要 用 中 括号 包 起 
来 。 不 过 由 于 


受到 垃圾 邮件 的 有 影响， 现在 这 种 方式 几乎 部 无 法 成 功 的 将 信件 寄 出 
J 


UD 
利用 已 经 处 理 完毕 的 『 纯 文本 档 J4 寄 出 信件 
net.giang@hotmail.com 


这 可 不 是 了 附件 夹带 4 的 方式 ! 因为 在 mail 这 个 程序 里 面 编辑 信件 是 
个 很 痛 藻 的 

夸 事 ， 你 不 能 够 按 上 下 左右 键 来 回 到 刚刚 编辑 有 错误 的 地 方 ， 很 伤 脑 
筋 。 此 时 我 们 可 


ea Pe 如 果 你 起 记 『 < J 了 代表 的 意义 ， 请 回 到 基础 
章 bash 


的 .bashrc 寄 给 


的 数 殷 
别人 ， 可 以 
这 样 做 : 


[root@www ~]#mail -s 'My bashrc dmtsai < ~/.bashrc 


0 
开始 查阅 接收 的 信件 


寄 信 还 比较 简单 ， 那 么 收 信 呢 ? 同样 的 收 信 还 是 使 用 mail。 直 接 在 提 
示 字 人 符 之 后 


输入 mail 时 ， 会 主动 的 捉 取 使 用 者 在 /var/spool/mail 底下 的 邮件 信箱 


(mailbox), 


例如 我 dmtsai 这 个 账号 在 输入 mail 后 ， 就 会 将 /var/spool/mail/dmtsai 
这 个 档案 


的 内 容 读 出 来 并 显示 到 屏幕 上 ， 结 果 如 下 : 


# 注意 喔 ! 底下 的 身份 使 用 的 是 dmtsai 这 个 用 户 来 操作 mail 这 个 指令 
的 哆 ， 


[dmtsai@www ~]$ mail 


Heirloom Mail version 12.4 7/29/08. Type ? for help. 


"/var/spool/mail/dmtsai": 10 messages 10 new <== 信 箱 来 源 与 新 信件 数 
>N 1 dmtsai@www.centos.vb Mon Aug 8 18:53 18/579 "from vbird" 
…( 中 间 省 略 )..… 

N 9 root Tue Aug 9 15:04 19/618 "Just test" 

N 10 root Tue Aug 9 15:04 29/745 "My bashrce" 

& <== 这 个 是 mail 软件 的 提示 字符 ， 可 以 输入 ?来 察看 可 用 指令 


在 上 面 的 画面 中 ， 显 示 dmtsai 有 一 封 信 ， 且 会 附 上 该 信件 的 发 信者 与 
标题 及 收 信和 时 间 


等 。 你 可 以 用 的 指令 有 这 些 : 
0 读 信 :” (直接 按 Enter 或 输入 数字 后 enter) 


有 看 到 『 > J 那个 符号 吧 ! 那 表 示 目 前 mail 所 在 的 邮件 位 置 ， 你 可 以 
直接 输 


入 Enter 即 可 看 到 该 封 信件 的 内 容 ! 男 外 ， 你 也 可 以 在 『&J 之 后 的 光 
标 位 置 


输入 号 码 ， 就 可 以 看 该 封 信件 的 内 容 了 ! ( 注 : 如 果 持 续 按 Enter， 则 会 
图 业 深 可 


符号 所 在 的 邮件 逐次 癌 后 读 取 每 封 信件 内 容 ! ) 
0 显示 标题 : (直接 数 入 hh 或 输入 h 数字 ) 


例如 有 100 封 信 ， 要 看 90 封 左右 的 信件 标题 ， 束 输入 『 h90 4 即 可 。 
0 回复 邮件 (直接 输入 R ) 


如 果 要 回复 目前 了 > J 符号 所 在 的 邮件 ， 直 接 按 下 『 RJ 即 可 进入 刚 
刚 前 面 介 


绍 过 的 mail 文字 编辑 画面 路 ! 你 可 以 编辑 信件 后 传 回去 哆 ! 
net.giang@hotmail.com 
删除 邮 件 : (输入 d 数字 ) 


Ed## 了 即 可 删除 邮件 ! 例如 我 要 删除 挥 第 2 封 邮件 ， 可 以 输入 
d2 4 


如 东 生 要 删除 第 10-50 封 邮件 ， 可 以 输入 『 d10-50 4 来 删除 喔 ! 请 记 
得 ， 如 


果 有 删除 邮件 的 话 ， 离 开 mail box 时 ， 要 使 用 『qJ4 才 行 ! 
0 储存 邮件 到 档案 : (输入 s 数字 文件 名 ) 


如 果 要 将 邮件 资料 存 下 来 ， 可 以 输入 『s 检 和 亿 ename 了， 例如 我 要 将 
上 面 第 10 


封 邮件 存 下 来 ， 可 以 输入 『 s 10 text.txt 」 即 可 将 第 一 封 邮件 内 容 存 成 
text.txt 这 个 档案 ! 

吕 离 开 mail (输入 gq 或 x) 

要 离开 mail 可 以 输入 q 或 者 是 x， 请 注意 『 输 入 x 可 以 在 不 更 动 mail 


box 


的 情况 下 离开 mail 程序 ， 不 管 你 刚刚 有 没有 使 用 d 删除 数据 ， 使 用 gq 


才 会 将 


删除 的 数据 移 除 。J 也 融 是 说 ， 如 条 你 不 想 更 动 mail box 那 束 使 用 x 


或 exit 

离开 ， 如 果 想 要 使 刚刚 移 除 的 动作 生效 ， 就 要 使 用 q 啦 ! 

0 请 求 协 助 : 

关于 mail 更 详细 的 用 法 可 以 输入 help 就 可 以 显现 目前 的 mail 所 有 功 


会 叫 
有 EE ! 


上 面 是 简易 的 mail 收 信 功能 ! 不 过 ， 我 们 曾经 将 信件 转 存 下 来 的 话 ， 
那 该 如 何 读 


取 该 信件 呢 ? 例如 读 取 刚刚 记录 的 text.txt 邮件 信箱 。 其 实 可 以 简单 的 
使 用 这 个 力 址 


来 读 取 : 

[dmtsai@www ~]$ mail -f ~/text.txt 

0 

以 了 附件 夹 市 了 的 方式 寄 信 

前 面 提 到 的 都 是 信件 的 内 容 ， 那 么 有 没有 可 能 以 【附件 4 的 方式 来 传 


递 档案 ? 是 可 


以 的 ， 不 过 你 需要 uuencode 这 个 指令 的 帮忙 ， 在 CentOS 当中 这 个 指 
令 属 于 


sharutils ， 请 先 利 用 yum 来 安装 他 吧 ! 接 下 来 你 可 以 这 样 使 用 : 
[root@www ~]# [利用 uuencode 编码 ] | [利用 mail 寄 出 去 ] 


[root@www ~]# uuencode [实际 档案 ] [信件 中 的 档 名 ] | mail -s ' 标 题 
email 


#1. 将 /etc/hosts 以 附件 夹带 的 方式 寄 给 dmtsai 


[root@www ~]# uuencode /etc/hosts myhosts | mail -s test encode' dmtsai 


这 样 束 能 寄 出 去 了 ， 不 过 ， 如 来 收 下 这 封 信件 呢 ? 同样 的 我 们 得 要 透 
过 译 人 码 右 来 解码 啊 ! 


你 得 先 将 该 档案 存 下 来 ， 然 后 这 样 做 : 


# 底下 的 映 份 可 是 dmtsai 这 个 用 户 喔 ! 


net.giang@hotmail.com 

2 

[dmtsai@www ~]$ mail 

Heirloom Mail version 12.4 7/29/08. Type ? for help. 
"/var/spool/mail/dmtsai": 11 messages 1 new 8 unread 
1 dmtsai@www.centos.vb Mon Aug 8 18:53 19/590 "from vbird" 
…( 中 间 省 略 ).. 

U 10 root Tue Aug 9 15:04 30/755 "My bashrc" 

>N 11 root Tue Aug 9 15:12 29/1121 "test encode" 

& s 11 test_encode 

"test_encode" [New file] 31/1141 

& exit 

[dmtsai@www ~]$ uudecode test_encode -0 decode 
加 密 楷 输出 档 


[dmtsai@www ~]$1 *code* 


-rW-r--r--. 1 dmtsai dmtsai 380 Aug 9 15:15 decode <== 详 公 后 

的 正确 数据 

-rW-rw-r--. 1 dmtsai dmtsai 1121 Aug 9 15:13 test_encode <== 内 文 会 
有 乱码 


虽然 mail 这 个 指令 不 是 挺 好 用 的 ， 不 过 至 少 他 可 以 提供 我 们 在 Linux 
纯 文 本 模式 下 


的 一 个 简单 的 收发 信件 功能 ! 人 不过， 有 目前 有 个 更 棒 的 符 代 方案 ， 那 加 


是 mutt 这 玩意 


儿 跑 ! 


22.4.2 Linux mutt 


mutt 除了 可 以 仿真 mail 这 个 指令 之 外 ， 他 还 能 够 透 过 pop3/imap 之 类 
的 协议 去 


读 取 外 部 的 信件 喔 ! 所 以 这 家 伙 真 的 很 不 赖 ! 让 我 们 来 玩 玩 mutt 这 个 
好 物 吧 ! 在 开 


始 确 下 的 动作 前 ， 请 使 用 yum install mutt 安装 好 它 吧 | 
0 
直接 以 mutt 进行 寄 送 信件 的 动作 : 含 快 速 附件 夹 市 文件 


mutt 的 功能 也 很 多 ， 我 们 先 来 看 看 mutt 的 基本 语法 好 了 ， 再 来 开始 进 
行 练 习 吧 ! 


[root@www ~]# mutt [-a 附加 档 ] [-i 内 文档 ] [-b 秘密 副本 ] [-c 一 般 副本 ] 
\ 


> [-s 信件 标题 ] email 地 址 


选项 与 参数 : 


| 人 后 面 殉 是 你 想 要 传送 给 朋友 的 档案 ， 征 附加 档案 ， 不 是 信 
容 


net.giang@hotmail.com 

喔 ! 

-i 内 文档 : 就 是 信件 的 内 文部 分 ， 先 编写 成 为 档案 而 已 ; 

原 收 件 者 不 知道 这 封 信 还 会 寄 给 后 面 的 那个 秘密 副本 收 


-Cc 一 般 副 本 : 原 收 件 者 会 看 到 这 封 信 还 有 传 给 哪 位 收 件 者 ; 
-s 信件 标题 : 这 还 需要 解释 吗 ? 这 封 信 的 标 头 ! 
email 地 址 :就 是 原 收 件 者 的 email 路 ! 


#1. 直接 在 线 编写 信件 ， 然 后 寄 给 dmtsai@www.centos.vbird 这 个 用 户 


[root@www ~]# mutt -s 一 封 测试 信 ' dmtsai@www.centos.vbird 
/root/Mail 不 存在 。 建 立 吗 ? ([yes]/no): y <== 第 一 次 用 才 会 出 现 这 个 讯 
息 

To: dmtsaiODwww.centos.vbird 

Subject: 一 封 测 试 信 

随便 写 写 ! 随便 看 看 一 ! <== 会 进入 vi 画面 编辑 ! 很 棱 ! 

y: 寄 出 q: 中 断 t:To c:CC s:Subj a: 附 加 档案 d: 叙 述 ?: 求 助 <== 

按 下 y 寄 出 

From: root <root@www.centos.vbird> 


To: dmtsaiODwww.centos.vbird 


Ce: 

Bec: 

Subject: 一 封 测试 信 

Reply-To: 

Fcc: ~/sent 

Security: 清除 

-- 附件 

-11/tmp/mutt-www-2784-0 [text/plain, 8bit, utf-8, 0.1K] 

# 2. 将 /etc/hosts 当成 信件 内 容 寄 给 dmtsai@www.centos.vbird 这 个 用 
je. 

[root@www ~]# mutt -s 'hosts' -i /etc/hosts dmtsai(@Wwww.centos.vbird 
# 记得 最 终 在 vim 底下 要 按 下 :wgq 来 储存 寄 出 喔 ! 


与 mail 在 线 编写 文字 不 一 样 ，mutt 竟然 会 呼叫 vi 让 你 去 编辑 你 的 信 
件 ! 如 此 一 来 ， 


当然 不 需要 预先 编写 信件 内 文 了 ! 这 真是 让 人 感到 非常 的 开心 啊 ! 而 
且 整 个 画面 非常 


的 直觉 化 ! 相当 容易 处 理 呢 ! 那么 如 果 需 要 附件 夹带 呢 ? 尤其 是 夹带 


binary program 
时 ， 可 以 这 样 做 : 


#1. 将 /usr/bin/passwd 当成 附件 夹带 ， 寄 给 dmtsai@www.centos.vbird 用 
1 


[root@www ~]# mutt -s "附件 ' -a /usr/bin/passwd -- 


dmtsaiODwww.centos.vbird 

To: dmtsaiODwww.centos.vbird 

net.qiang@Ohotmail.com 

Subject: 附件 

不 过 是 个 附件 测试 ! 

y: 寄 出 q: 中 断 t:To c:CC s:Subj a: 附 加 档案 d: 叙 述 ?: 求 助 <== 
按 y 送出 

From: root <root@@www.centos.vbird> 

To: dmtsaiODwww.centos.vbird 

Ce: 

Bec: 

Subject: 附件 

Reply-To: 

Fcc: ~/sent 

Security: 清除 

-- 附件 

-11 /tmp/mutt-www-2839-0 [text/plain, 8bit, utf-8, 0.1K] <== 
内 文档 

A 2 /usr/bin/passwd [applica/octet-stre, base64, 31K]| 
<== 附 加 模 


看 到 上 表 中 的 附件 底下 那 两 行 吗 ? 工 代 表 的 是 直接 附 在 信件 内 的 内 文 ， 
A 才 和 附加 档案 ! 


这 样 看 懂 了 吗 ? 不 过 你 想 要 使 用 mutt 来 附加 档案 时 ， 必 须要 有 底下 的 
注意 事项 才 行 : 


0 Tafilename 4 这 个 选项 必须 是 在 指令 的 最 后 面 ， 如 果 上 述 的 指令 改 
写 


成 : 『 mutt -a /usr/bin/passwd -s "附件 " ... J」 束 不 行 ! 会 失败 的 ! 


0 在 文件 名 与 email 地 址 之 间 需 要 加 上 两 个 连续 减 号 『-- 4 才 行 ! 如 同 


面 测 试 的 指令 模样 ! 
0 
以 mutt 来 读 不 同 通讯 协议 的 信箱 


与 mail 比较 之 下 ，mutt 可 以 直接 透 过 网 络 的 pop3, imap 等 通讯 协议 来 
读 信 ， 


征 相 当 优 秀 的 一 个 功能 吻 ! 至 少 乌 哥 澳 得 真 好 用 ! 底下 同样 的 ， 爷 来 
瞧 瞧 可 以 使 用 的 


语法 ， 然 后 再 来 看 看 一 些 练习 。 

[root@www ~]# mutt [-f 信箱 位 置 ] 

选项 与 参数 : 

-f 信箱 位 置 ， 如 果 是 imaps 的 信箱 ， 可 以 这 样 : 『 -fimaps:/ 服 务 器 的 
IP J 

#1. 直接 用 dmtsai 的 号 份 读 取 本 机 的 信箱 内 容 : 


net.qiang@Ohotmail.com 


[dmtsai@Owww ~]$ mutt 

dq: 离 开 d: 删 除 u: 反 删除 s: 储 存 m: 信 件 rt: 回复 g: 群 组 ?2 求助 

.…( 中 间 省 略 ).…. 

11 O + Aug 09 root ( 12) test encode 

12 O + Aug 09 root ( 1) 一 封 测试 信 

13 O + Aug 09 root ( 8) hosts 

140 + Aug 09 root ( 604) 附件 

---Mutt: /var/spool/mail/dmtsai [Msgs:14 Old:11 
74K]---(date/date)-------(all)-- 

— 在 上 面 的 信件 14 号 内 容 反 日 后 ， 直 接 按 下 Enter 会 出 现 如 下 夯 


二 离开 -: 上 一 页 <Space>: 下 一 页 Vv: 显 示 附 件 。d: 删 除 r: 回 复 j: 下 
二 < 

Date: Tue, 9 Aug 2011 15:24:34 +0800 

From: root <rootDwww.centos.Vbird> 

To: dmtsaiODwww.centos.vbird 

Subject: 附件 

User-Agent: Mutt/1.5.20 (2009-12-10) 

[-- 附件 #1 --] 

[-- 种 类 : textplain， 编 码 : 8bit， 大 小 : 0.1K --] 


不 过 是 个 附件 测试 ! <== 信 件 的 内 文部 分 

[-- 附件 #2: passwd --] <== 说 明 信 件 的 附件 夹带 部 分 

[-- 种 类 : applicationoctet-stream， 编 码 : base64， 大 小 : 41K --] 
[-- application/octet-stream 尚未 支持 〈 按 'v' 来 显示 这 部 份 ) --] 
-O +- 14/14: root 附件 

-- (all) 

#3. 在 上 面 画 面 按 下 Vv 后， 会 出 现 相关 的 附件 数据 : 

dq: 离 开 s: 储 存 |: 管 线 p: 显 示 ?: 求 助 

I1 <no description> [text/plain, 8bit， 

utf-8, 0.1K] 

A 2 passwd 

[applica/octet-stre, base64, 41K] 

# 反日 处 按 下 s 整 能够 储存 附加 档案 哎 ! 


net.giang@hotmail.com 


0 


最 后 离开 时 ， 一 直 按 下 q ， 然 后 参考 出 现 的 信息 来 处 理 即 可 这 束 是 本 
机 信件 的 收 信 方 


式 ! 非常 简单 ! 附加 档案 的 储存 方面 也 很 容易 ， 真 是 非常 开心 啊 ! 那 
如 琳 是 外 部 信箱 


呢 ? 举例 来 说 ， 我 用 root 的 映 份 去 收 dmtsai 的 imaps 信件 ， 会 是 怎样 
的 情况 呢 ? 


# 工 . 在 服务 器 端 必须 要 让 mail 这 个 群 组 能 够 使 用 dmtsai 的 家 目录 ， 所 
以 要 这 


样 : 

[dmtsai@www ~]$chmod at+x ~ 

# 2. 开始 在 客户 端 登 入 imaps 服务 器 取得 dmtsai 的 新 邮件 与 邮件 文件 夹 
[root@www ~]# mutt -f imaps:/www.centos.vbird 
dq: 离 开 ?: 求 助 

这 个 验证 属于 : 

www.centos.vbird dmtsai@www.centos.vbird 
KSU 

DIC 

Tainan Taiwan TW 

这 个 验证 的 派发 者 : 

www.centos.vbird dmtsai@www.centos.vbird 
KSU 

DIC 

Tainan Taiwan TW 

这 个 验证 有 效 

由 Tue, 9 Aug 2011 06:45:32 UTC 


全 Wed, 8 Aug 2012 06:45:32 UTC 


9HA1 Fingerprint: E86B 5364 2371 CD28 735C 9018 533F 4BCU0 9166 
EFD03 


MDS5 Fingerprint: 54F5 CA4E 86E1 63CD 25A9 707E B76F 5B52 
-- Mutt: SSL Certificate check (certificate 1 of 1 in chain) 


J \ 接 受 ，(2) 只 是 这 次 接受 ，(3) 永 远 接 受 <== 这 里 要 填写 2 或 3 才 


在 www.centos.vbird 的 使 用 者 名 称 : dmtsai 
dmtsai@www.centos.vbird 的 密码 : 


最 终 在 密码 设 定 正确 后 ， 你 束 会 看 到 刚刚 我 们 所 看 到 的 信件 了 ! 不 过 
要 注意 的 是 ， 如 果 


你 的 用 户 家 目录 在 非 正规 目录 ， 那 么 可 能 会 出 现 SELinux 的 错误 ， 这 
时 就 得 要 重新 修 


订 一 下 你 的 SELinux 安全 本 文 的 类 型 嗓 ! 如 此 一 来 ， 我 们 就 直接 以 文 
本 标 式 来 取得 网 


Re 这 实在 是 非常 方便 的 一 件 事 ! 只 是 没有 图 文 并 成 而 已 ! 


22.4.3 Thunderbird 好 用 的 跨 平台 (Windows/Linux X) 软件 


net.giang@hotmail.com 


司 件 帐 哮 设 定 


您 的 六 名 (NN): 号 哥哥 


Email 位 站 (D: dmtsai@www.centos.vb 室 汉 跟 你 幅 号 相 关 的 
= 二 D @eeeee | 识别 资讯 而 已 


中 让 住宅 在 (M) 


目 由 软件 最 大 的 好 处 之 一 束 是 该 软件 大 多 可 以 进行 移植 ， 也 束 古 在 任 
何 操作 系统 上 


面 几乎 都 能 够 执行 该 软件 的 意思 。 因此 学 习 目 由 软件 的 好 处 就 是 ， 你 
不 必 因 为 转换 操 


作 系 统 而 学 习 不 同 的 操作 环境 ! MUA 也 有 自由 软件 ! 那 就 是 Mozilla 
基金 会 推出 的 


ThunderBird ( 雷 乌 ) 这 个 好 用 的 噬 咯 ， 你 可 以 在 撒 下 的 网 址 上 面 找 到 党 
体 中 文 的 软件 : 


LD http:/moztw.org/thunderbird/ 


有 鉴于 目前 客户 端 还 是 以 Windows 操作 系统 为 大 宗 ， 所 以 底下 的 说 明 
主要 是 在 


Windows 7 上 头 的 安装 与 设 定 为 主 。 目 前 (2011/08) 最 新 的 Thunderbird 
已 经 出 到 


5.x 了 ， 所 以 鸟 哥 以 繁体 中 文 的 5.x 为 范例 来 介绍 嘿 。 下 载 完毕 的 安装 
过 程 乌 哥 省 略 


了 ， 因 为 一 直下 一 步 而 已 。 乌 哥 直 接 跳 到 第 一 次 局 动 Thunderbird 的 介 
绍 ， 硕 望 对 大 


家 有 帮助 哟 ! 乌 哥 是 以 dmtsai@Dwww.centos.vbird 这 个 账号 为 范例 来 说 
明 的 哟 ! 初次 


启动 会 出 现下 图 : 
图 22.4-1、 第 一 次 启动 Thunderbird 的 示意 图 


由 于 是 第 一 次 启动 ， 所 以 thunderbird 里 面 没 有 任何 识别 数据 。 此 时 你 
可 以 填写 


你 要 在 email 上 面 让 人 家 看 到 的 数据 ， 以 及 包括 你 登入 远程 信箱 的 账 


号 密码 等 信息 。 


上 图 乌 哥 的 昵称 为 【 乌 哥 哥 」， 而 Email 是 要 给 收 件 者 看 到 的 ， 密 码 
当然 束 古 目 己 的 


不 外 流 ~~ 填 完 之 后 按 下 『 继 续 J 吧 1 


net.giang@hotmail.com 


| es 
Ce E 
您 的 六 名 (\D:。 身 否 可 的 名 字 ,用 谎 显示 在 您 的 受 件 
Email 位 区 (LD): tsai@www.centos.vbird 


三 党 O00ee 


避 记 住 安 等 (IM) 
如 Thunderbird 香 试 寻 茂 您 的 咕 纤 设 定 值 失 数 ， | 改 成 正 兢 的 主 机 名 称 


习 训 本 二 请 


履 仁 : |IMAP wv| www | | 993 vw | LSSE/TES - EEEED -| 


需 位 : SMTP | www.centos.vbird 


位 弓 答 会 怒 dmtsai 


3 测 一 
2， 改 成 正确 的 通读 坊 底 人 
[mE 4， 手动 设 定 [x | | 重新 济 诬 四 | | 建立 梳 (GO | 
图 22.4-2、Thunderbird 主动 的 以 用 户 信 息 和 尝试 登 入 服务 需 


由 于 刚刚 图 22.4-1 有 输入 账号 与 密码 信息 ， 因 此 ， 在 这 一 个 步骤 中 ， 
Thunderbird 


会 主动 的 尝试 登入 远程 信箱 ! 不 过 ， 好 像 会 抓 取 错误 的 信息 的 样子 。 
如 琳 真 的 抓 错 了 ， 


请 修改 箭头 1 指 的 服务 器 主机 名 ， 以 及 通讯 协议 的 相关 设 定 值 ， 按 下 
【重新 侦 测 J ， 


确定 捉 到 的 数据 是 正确 了 ， 再 按 下 『 建 立 账号 」 或 『 进 阶 设 定 」 (箭头 
4 指 的 地 方 ) 即 可 


如 果 你 很 好 奇 进 阶 设 定 里 面 有 啥 ， 点 选 箭头 4 指 的 地 方 ， 会 出 现 如 下 
的 详细 资料 


net.giang@hotmail.com 


admtsai@www.centos.vbird 


伺服 器 设 定 
储 仿 与 喜 什 功 合 张 颖 纠 强 : IMAP 对 件 伺服 吉 
下 信 积 洱 记 峰 伺 臣 器 念 稀 (S): www.centosvbird Port (Pj: ”993 上 月 预 设 : 993 
石 交 可 仁 坝 志 使 后 考 会 复 (dmtsai 
司 半 弓 仿 到 
收 任国 各 交 全 役 定 
证 俱 罗 们 
am 1 Cd 
全 人 A 
入 溉 全 站 BES 2 
多 人 生生 和 动 竺 检 台 有 皇 新 更 什 或 文章 (C) 
每 10 且 分 总 校 查 新 款 件 
丛 实 到 从 误 件 尘 : 
团 移动 到 此 瓷 衬 严 (Q): | Trash 下 
加 碟 示 为 【三 利 除 ， 罗 R 
加 豆 深 区 茜 (D) 
污 受 等 洲 注 “ 收 住 区 ， (日 
结 京 障 涛 全 全 示 育 00 优 扫 MO 
使 用 Thunderbird 作 考 预 设 四 户 闭 : 


区 和 阁 Windows Search 滩 于 怪人 和 件 (9) 


每 次 襄 到 Thunderbird 时 部 兰 新 榨 可 内 ) 


图 22.4-3、 手 动 修改 账号 的 相关 参数 


如 上 图 所 示 ， 点 选 服务 器 设 定 项 目 ， 然 后 去 查阅 一 下 收 信 的 服务 器 设 
定 是 否 正 确 ? 


大 正确 的 话 ， 束 按 下 确定 吧 ! 然后 会 出 现 如 下 的 图 示 ， 要 你 确定 是 否 
使 用 Thunderbird 


作为 默认 的 电子 邮件 收发 软件 就 是 了 ! 直接 点 确定 进入 下 个 步骤 吧 ! 
图 22.4-4、 建 立 默认 的 MUA 软件 示意 图 


由 于 Thunderbird 会 答 试 使 用 你 输入 的 账号 密码 去 登入 远程 服务 大 的 
imaps 服 


务 ， 所 以 就 会 出 现 如 下 图 一 般 的 插 证 取得 示意 ， 这 时 要 按 啥 ” 当然 是 
确认 永久 储存 该 


攒 证 嘛 ! 很 简单 的 啊 ! 
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”您 正 狗 国 杆 董 Thunderbird 要 如 何 谅 别 此 党 站 的 设 定 : 
\ 请 注意 ， 合 法 的 银行 、 商 店 或 其 他 公开 网 站 不 会 要 求 您 这 度 做 ! 


伺 张 至 

vvwvw centos vbird-993 | 取得 起 请 (G) 
还 黎 状 驴 

此 深 站 兰 计 局 冬 效 的 资 记 谅 踢 富 三 : 检 许 OO. 
未 知 身分 


永久 入 译 此 例外 (P) 


图 22.4-5、 取 得 凭证 的 示意 图 


确定 凭证 OK、 账 号 密码 也 OK 的 话 ， 就 可 以 开始 使 用 Thunderbird 
啦 ! 正常 使 用 


的 图 示 有 点 像 这 样 : 
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玖 守 虽 ” 并 蛤 日” 术 痪 0 前往 (G) 更 人 (工具 四 申明 (D 本 
地下 等 毒 全 - 力 己 售 | 轧 还 抽 兰 | 中 项 庄 - 受 提 会 训 打 训 <Cir+> Pp 
| 山 收 件 区 | | Q- 

所 有 宴 料 关 2 A > | 家 从 加 如 济 BB ®e 语 弟 省 宕 打 六 A 
admtsail@www.centos.vbird 下 会 候 主 中 pp 检 @ 日 项 。 四 


My bashrc 


名 三 及 中 于 村 生生 到 和 二 二 入 


. Mm) root <root@Wwww.centos.vbird> 
器 (subject) 附件 下 午 03:24 
3 aa 是 己 其他 到 作 。 


» 你 一 全 附件 EE = 和 及 莫 字 


图 22.4-6、Thunderbird 正常 操作 示意 图 


如 条 一 切 成 功 顺利 ， 那 么 你 应 该 会 看 到 如 上 的 画面 了 ! 回 到 刚刚 我 们 
查询 到 的 标题 


名 为 了 附件 4 的 邮件 ， 查 阅 一 下 内 容 ， 嘿 嘿 ! 你 会 看 到 内 文 与 附件 都 
是 OK 正常 的 啦 | 


而 且 更 开心 的 是 ， 由 于 是 imaps 的 通讯 协议 ， 因 此 Thunderbird 的 内 容 
会 与 服务 右上 


面 的 /var/spool/mail/dmtsai 这 个 信箱 内 容 同步 喔 ! 不 像 POP3 抓 下 来 就 
删除 服务 器 


的 信件 ! 真是 好 好 用 的 软件 啊 ! 和信 

Tips: 

老实 说 ， 由 于 gmail 等 免费 邮件 的 盛行 ， 目 前 连 Openwebmail 自 

由 软件 都 很 少 人 安装 了 ! 鸟 哥 上 课时 看 到 的 同学 ， 几乎 全 部 使 用 
gmail, yahoo mail, hotmail 等 的 web 接口 的 MUA， 根 本 没 人 在 

用 本 机 端的 MUA 了 一 但 是 ， 某 些 时 刻 某 些 过 时 的 信件 还 是 得 要 从 
web mail 上 面 捉 下 来 ， 这 时 ，Thunderbird 就 派 上 用 场 嘿 ! 和信 

22.5 邮件 服务 器 的 进 阶 设 定 


时 至 今日 ， 邮 件 攻击 主要 的 问题 已 经 不 是 病毒 与 木马 了 ， 大 多 数 的 坟 
圾 邮件 多 是 钓 


鱼 以 及 色情 广告 。 网络 钓 鱼 的 问题 在 于 用 户 的 莫名 好 奇 心 以 及 较 糟 糙 
的 操作 习惯 ， 这 


部 份 很 难处 理 。 色 情 广 告 则 是 防不胜防 ， 你 想 出 一 个 过 滤 机 制 ， 他 融 
使 用 男 一 个 机 制 


来 丢 你 ! 用 严格 的 过 滤 机 制 吗 ? 又 可 能 将 正 削 的 信件 抵挡 挥 ， 真是 要 
命 啊 ! 所 以 ， 还 是 


请 用 户 直 接 删 除 比较 好 。 因此 ， 在 这 一 个 小 市 当中 ， 关 于 收 信 的 过 滤 
机 制 方面 ， 乌 哥 
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0 


移 除 了 前 一 版 介绍 的 病毒 扫 瞄 以 及 目 动 学 习 广 告 机 制 了 了。 如 琳 你 还 是 
有 相关 的 需要 ， 


可 能 得 要 自行 查 查 相关 的 官方 网 站 喝 ! 不 好 意思 啦 ! 


另外 ， 底 下 主要 针对 postfix 的 邮件 收 下 过 滤 处 理 ， 以 及 重新 发 送 的 
Relay 过 程 


进行 介绍 。 这 两 个 过 程 在 postfix 的 设 定 中 ， 主 要 有 几 个 重要 的 项 目 管 


D smtpd_recipient_restrictions: recipient 是 收 件 者 的 意思 ， 这 个 设 定 值 


主要 在 管理 『 由 本 机 所 收 下 的 信件 4 的 功能 ， 因 此 大 部 分 的 设 定 都 是 
在 进行 邮件 


过 滤 以 及 是 否 为 可 信任 邮件 的 意思 。 来 源 可 以 是 MTA 或 MUA 的 意 
忆 ; 


D smtpd_client_restrictions: client 是 客户 端的 意思 ， 因 此 主要 在 管理 客 


尸 问 的 来 源 是 否 可 信任 。 可 以 将 非 正规 的 mail server 来 信 拒 绝 挥 的 ! 


然 就 是 MUA 忠 ，; 


D0 smtpd_sender_restrictions: sender 是 寄 件 人 的 意思 ， 可 以 针对 信件 来 
产 


(对 方 邮件 服务 器 ) 来 进行 分 析 过 滤 的 动作 。 来 源 理论 上 束 是 MTA 啦 ! 
22.5.1 邮件 过 滤 一 :用 postgrey 进行 非 正 规 mail server 的 垃圾 信 抵 挡 


早期 的 广告 信 很 多 都 是 夭 由 僵尸 计算 机 (已 经 被 当 作 跳板 但 管理 员 却 没 
有 发 现 或 


没有 处 理 的 主机 ) 来 发 送 的 ， 这 些 僵尸 计算 机 所 发 送 的 信件 有 个 很 明显 
的 特色 ， 驶 是 


1 他 只 会 尝试 传送 该 封 电子 邮件 一 次 ， 不 论 有 无 成 功 ， 该 封 信 束 算 发 
出 去 了 ， 故 该 信 


件 将 被 移出 队列 中 。J 不 过 ， 合 法 的 mail server 运作 流程 就 如 22.2.8 
分 析 的 一 般 ， 


在 邮件 无 法 顺利 寄 出 时 该 邮件 会 暂时 放置 到 队列 中 一 段 时 间 ， 并 一 直 
兰 试 将 信件 寄 出 


的 动作 ， 预 设 直到 五 天 后 硅 还 古 无 法 寄 出 才 会 将 信件 退回 。 


根据 这 个 合法 与 非法 的 邮件 服务 器 运作 流程 而 发 展 出 一 父 所 谓 的 上 曙光 
(postgrey) 


软件 ， 你 可 以 参考 展 下 的 几 个 说 明 来 了 解 这 个 软件 : 


[| http:Wisg,ee.ethz.ch/tools/postgrey/ 
LD http:/www.postfix.org/SMTPD POLICY README.html 


基本 上 postgrey 主要 的 功能 是 在 记录 发 信 来 源 而 已 ， 若 发 信 来 源 同一 
封 信 第 一 次 


寄 来 时 ， postgrey 预 设 会 抵挡 他 ， 并 且 将 来 源 地 址 记录 起 来 ， 在 约 5 
分 钟 后 ， 知 该 


信件 又 传 来 一 次 时 ， 则 该 信件 会 被 收 下 来 。 如 此 则 可 以 杜绝 非 发 邮件 
服务 做 单 次 发 送 


的 问题 喔 ! 和 人 ^! 但 对 于 你 确定 合法 的 主机 则 可 以 开放 所 谓 的 『 昌 名 
单 (whitelist) J 


来 优先 通过 而 不 抵挡 。 所 以 说 ， 他 主要 是 这 样 进行 的 : (参考 


http://projects.puremagic.com/greylisting/whitepaper.html) 


1. 确认 发 信 来 源 古 否 在 白 名 单 中 ， 奉 十 则 予以 通过 ; 


2. 确认 收 信 关 是 否 在 日 名 单 中 ， 夺 是 则 了 予以 通过 ; 
3. 确定 这 封 信 是 否 已 经 被 记录 起 来 呢 ? 放行 的 依据 是 : 
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o 大 无 此 信件 的 记录 ， 则 将 发 信 地 址 记录 起 来 ， 并 将 信件 退回 ; 

o 者 有 此 信件 的 记录 ， 但 是 记录 的 时 间 疝 未 超过 指定 的 时 间 ( 预 设 5 
分 钟 )， 则 依旧 退回 信件 ; 

o 在 有 信件 的 记录 ， 且 记录 时 间 已 超过 指定 的 时 间 ， 则 了 予以 通过 ; 


整个 过 程 简单 的 来 说 就 是 这 样 而 已 。 不 过 为 了 要 快速 的 达成 postgrey 
的 『 记 录 J 


能 力 ， 所 以 数据 库 系统 又 是 不 可 避免 的 东西 。 且 postgrey 是 由 perl 写 
成 的 ， 你 可 


0 perl 模块 才 行 。 总 的 来 说 ， 你 需要 的 软件 至 


0 BerkeleyDB: 包括 db4, db4-utils, db4-devel 等 软件 : 


0 Perl: 使 用 yum install perl 即 可 ; 


0 Perl 模块 : perl-Net-DNS 是 CentOS 本 号 有 提供 的 ， 其 他 没有 提供 的 


可 
以 到 http:/Ypmfind.net/ 去 搜寻 下 载 。 
0 

安 疙 流程 : 


因为 CentOS 官方 已 经 提供 了 一 个 连结 可 以 找到 所 有 的 在 线 yum 安装 
方式 ， 你 可 


0D 官网 介绍 :_http://wiki.centos.org/HowTos/postgrey 

0 在 线 安 闻 软件 : 
http://wiki.centos.org/AdditionalResources/Repositories/RPMForge 

乌 哥 假设 你 已 经 下 载 了 
http:/packages.Sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86 _ 
64.rpm 这 个 软件 且 放 置 到 /root 确 下 ， 然 后 这 样 做 : 

[root@www ~]# rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt 
[root@www ~]# rpm -ivh rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm 
[root@www ~]# yum install postgrey 


上 述 的 动作 在 进行 数字 签名 档案 的 安装 、yum 配置 文件 的 建 置 ， 以 及 
最 终 将 postgrey 


透 过 网 络 安 装 起 来 而 已 ! 整个 流程 简单 到 不 行 呢 ! 最 重要 的 是 ， 找 到 
适合 你 的 yum 配 


置 文件 软件 来 安装 就 是 了 ! 
0 
局 动 与 设 定 方 式 : 
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因为 postgrey 是 额外 的 一 个 软件 ， 因 此 我 们 还 是 得 要 将 它 视 为 一 个 服 


务 来 局 动 ， 


同时 postgrey 是 本 机 的 socket 服务 而 非 网 络 服务 ， 他 只 提供 给 本 机 的 
postfix 来 


作为 一 个 外 挂 ， 因 此 观察 的 方式 并 不 是 观察 TCP/UDP 之 类 的 联机 喔 ! 
底下 让 我 们 来 瞧 


瞧 司 动 与 观察 的 过 程 吧 ! 

[root@www ~]# /etc/init.d/postgrey start 

[root@www ~]# chkconfig postgrey on 

[root@www ~]# netstat -anlp | grep postgrey 

Active UNIX domain sockets (servers and established) 
Proto RefCnt Type State PID/Program Path 

unix 2 STREAM LISTENING 17823/socket 


/var/spool/postfix/postgrey/socket 


上 表 中 最 重要 的 整 古 那个 输出 的 path 项 目 


啦 ! /var/spool/postfix/postgrey/socket 


是 用 来 做 为 程序 之 间 的 数据 交换 ， 这 也 是 我 们 的 postfix 要 将 信件 交 给 
postgrey 处 


理 的 一 个 相当 重要 的 接口 ! 有 了 这 个 数据 后 ， 接 下 来 我 们 才能 够 开始 
修改 postfix 的 


main.cf HS ! 
[root@www ~]# vim /etc/postfix/main.cf 
#1. 更 改 postfix 的 main.cf 主 配 置 文件 资料 : 


# 一 般 来 说 ，smtpd_recipient_restrictions 得 要 手动 加 入 才 会 更 动 默认 
值 : 


smtpd_recipient_restrictions = 


permit_mynetworks, <== 默 认 值 ， 人 允许 来 目 mynetworks 

设 定 值 的 来 源 

reject_unknown_sender_domain, <== 拒 绝 不 明 的 来 源 网 域 (限制 来 源 
MTA ) 

reject_unknown_recipient_domain, <== 拒 绝 不 明 的 收 件 者 (限制 目标 
MTA) 

reject_unauth_destination, <== 默 认 值 ， 拒 绝 不 信任 的 目标 
check_policy_service unix:/var/spool/postfix/postgrey/socket 


# 重点 是 最 后 面 那 一 行 ! 束 是 指定 使 用 unix socket 来 连接 到 postgrey 之 


= 
上 且 0 
以 


# 后 续 我 们 还 有 一 些 广告 信 的 抵挡 机 制 ， 

特别 建议 您 将 这 个 postgrey 的 设 定 

值 写 在 最 后 ， 

# 因为 他 可 以 算是 我 们 最 后 一 个 检验 的 机 制 喔 ! 

# 2. 更 改 postgrey 的 抵挡 秒 数 ， 建 议 将 原本 的 300 秒 (五 分 钟 ) 改 为 60 
秒 较 住 : 


[root@www ~]# vim /etc/sysconfig/postgrey <== 预 设 不 存在 ， 请 手动 建 
立 


OPTIONS="--unix=/var/spool/postfix/postgrey/socket --delay=60" 

# 重点 是 --delay 要 抵挡 几 秒 钟 ， 默 认 值 为 300 秒 ， 我 们 这 里 改 为 60 秒 
妊 

于 


/十 
件 。 
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[root@www ~]# /etc/init.d/postfix restart 
[root@www ~]# /etc/init.d/postgrey restart 


由 于 过 往 的 经 验 指出 ， 等 每 5 分 钟 有 时 候 会 让 某 些 正常 的 mail server 
会 被 拒绝 好 


久 ， 对 于 紧急 的 信件 来 说 ， 这 样 有 点 不 妥 。 因此，CentOS 官网 也 建议 
将 这 个 数值 改 小 


一 点 ， 例 如 60 秒 即 可 。 反 正 ， 不 正常 的 信件 第 一 次 寄 束 会 被 拒绝 ， 等 
多 人 入 似乎 也 不 


是 这 么 重要 了 。 然 后 ， 在 postfix 的 设 定 中 ， 默 认 值 仅 有 允许 本 机 设 定 
(permit_mynetworks) 以 及 拒绝 非 信 任 的 目标 
民 


(reject_unauth_destination)， 乌 哥 术 


据 经 验 ， 先 加 入 拒绝 发 件 人 (MIA) 的 不 明 网 域 以 及 拒绝 收 件 者 的 不 明 
网 域 的 信件 了 ， 


这 样 也 能 够 减少 一 堆 不 明 的 广告 信件 。 最 终 才 加 入 postgrey 的 分 析 。 


要 注意 的 是 ，smtpd_recipient_restrictions 里 面 的 设 定 是 有 顺序 之 分 的 ! 
以 上 

面 的 流程 来 说 ， 只 要 来 目 信 任用 户 ， 该 封 信 件 束 会 被 收 下 会 转 递 ， 然 
后 不 明 的 来 源 与 


目标 会 被 拒绝 ， 不 受信 任 的 目标 也 会 被 拒绝 ， 这 些 流程 完毕 之 后 ， 才 
开始 正 币 信件 的 


postgrey 机 制 处 理 ! 这 样 其 实 已 经 可 以 克服 一 堆 广 告 信 了 ! 接 下 来 ， 
让 我 们 测试 看 看 


postgrey 有 没有 正常 运作 ! 请 在 外 部 寄 一 封 信 到 本 机 来 吧 ! 例如 寄 给 
dmtsai@ODwww.centos.vbird， 然后 查 一 下 /var/log/maillog 的 内 容 看 看 : 


Aug 10 02:15:44 www postfix/smtpd[18041]: NOQUEUE: reject: RCPT 
from 


vbirdwin7[192.168.100.30]: 450 4.2.0 <dmtsai@www.centos.vbird>: 
Recipient address rejected: Greylisted, see 
http://postgrey.schweikert.ch/help/www.centos.vbird.htm!l; 
from=<dmtsai@Wwww.centos.vbird> to=<dmtsai(@www.centos.vbird> 
proto=ESMTP helo=<[192.168.100.30]> 

鸟 哥 事先 取消 permit_mynetworks 之 后 才 开 始 测试 ， 测 试 完毕 后 又 将 


permit_mynetworks 加 回来 才 好 ! 这 样 才 能 看 到 上 述 的 资料 。 这 表示 
postgrey 已 经 


开始 顺利 运作 了 ! 并 且 来 源 主机 的 相关 记录 也 已 经 记载 在 
/var/spool/postfix/postgrey/ 目录 下 嚼 ! 如 此 一 来 您 的 postfix 将 可 以 透 过 
postgrey 来 挡 掉 一 些 莫 名 其 妙 的 广告 信 哆 1! 

0 

设 定 不 受 管制 的 白 名 单 : 


不 过 postgrey 也 是 有 缺点 的 ， 怎 么 说 呢 ? 因为 postgrey 预 设 会 完 将 信 
件 退 回去 ， 


所 以 你 的 信件 惑 可 能 会 发 生 延 迟 的 问题 ， 延 到 的 时 间 可 能 是 效 分 钟 到 
数 小 时 ， 端 看 你 


NY 


的 MTA 设 定 而 定 。 如 果 你 想 要 让 『 某 些 信任 的 邮件 主机 不 需要 经 过 
postgrey 的 抵挡 


机 制 4 时 ， 束 得 要 开放 日 名 单 哆 ! 
日 名 单 的 开局 也 很 简单 啊 ， 直 接 编 写 


/etc/postfix/postgrey_whitelist_clients 


这 个 档案 即 可 。 假设 你 要 让 乌 哥 的 邮件 服务 器 可 以 自由 的 将 信和 寄 到 你 
的 MTA 的 话 ， 那 


么 你 可 以 在 这 个 档案 内 加 入 这 一 行 : 
net.giang@hotmail.com 

2 

[root@www ~]# vim /etc/postfix/postgrey_whitelist_clients 
mail.vbird.idv.tw 

www.centos.vbird 

# 将 主机 名 写 进 去 吧 ! 

[root@www ~]# /etc/init.d/postgrey restart 


如 果 你 还 有 更 多 信任 的 MTA 服务 右 的 话 ， 将 他 写 入 这 个 档案 当中 ! 那 
他 束 可 以 略 过 


postgrey 的 分 析 嘿 ! 更 进 阶 的 用 法 就 得 要 靠 您 自己 去 发 掘 咖 ! 入 和 
22.5.2 邮件 过 滤 二 : 关于 墨 名单 的 抵挡 机 制 
还 记得 22.1.5 讲 到 的 Open Relay 的 问题 吧 ? 你 的 MTA 可 千 万 不 能 成 


为 Open Relay 的 状况 ， 否 则 对 你 的 网 络 与 『 信 用 J 影响 很 大 喔 ! 一 般 
来 说 ， 只 要 是 Open Relay 


的 邮件 MTA 都 会 被 列 入 黑 名 单 当 中 ， 例 如 人 台湾 地 区 的 学 术 网 络 黑 名 
单 以 及 因特网 社会 


上 提供 的 黔 名 单数 据 库 : 

[L http://rs.edu.tw/tanet/spam.html 

L http://cbl.abuseat.org/ 

既然 黑 名 单数 据 库 里 面 的 mail server 本 身 就 是 有 问题 的 邮件 主机 ， 那 
单 里 面 的 主机 想 要 跟 我 的 mail server 联机 时 ， 我 当然 可 以 『 合 理 的 怀 
疑 该 信件 是 有 


问题 的 ! J 了 您 说 是 吧 ! 所 以 来 目 畸 名 蛙 或 者 是 要 送 至 洁 名 蛙 的 信件 最 
好 是 不 要 接受 啦 ! 


您 当然 可 以 目 行 前 往 该 网 站 将 有 问题 的 主机 列表 给 他 加 入 目 己 的 邮件 
主机 抵挡 机 


制 当 中 ， 不 过 吏 是 不 太 人 性 化 ! 既然 因特网 社会 已 经 提供 了 黑 名 单数 
据 库 了 ， 我 们 残 


可 以 利用 这 个 数据 库 来 抵挡 嘛 ! 在 决定 是 否 进行 Relay 之 前 ， 先 要 求 
我 们 的 postfix 


前 往 追 踩 黑 名单 的 数据 库 ， 帮 目标 的 耳 或 主机 名 十 墨 名 单 的 一 员 ， 则 
我 们 束 将 该 信 


件 拒 绝 哆 | 
Postfix 设 定 畸 名 单 检 验 真 的 很 创 单 ， 你 只 要 这 样 做 即 可 : 


[root@www ~]# vim /etc/postfix/main.cf 


smtpd_recipient_restrictions = 


permit _ mynetworks， 
reject_unknown_sender_ domain， 
reject_unknown_recipient_domain, 
reject_unauth_destination, 
reject_rbl_client cbl.abuseat.org, 
reject_rb]_client bl.spamcop.net, 
net.giang@hotmail.com 

reject_rbl_client cblless.anti-spam.org.cn, 
reject_rb]_client sbl-xbl.spamhaus.org, 


check_policy_service unix:/var/spool/postfix/postgrey/socket 


# 请 注意 整个 设 定 值 的 顺序 才 好 ! 在 postgrey 之 前 先 检 查 是 否 为 黑 名 
单 ! 


smtpd_client_restrictions = 
check_client_access hash:/etc/postfix/access, 
reject_rb]_client cbl.abuseat.org, 
reject_rb]_client bl.spamcop.net, 
reject_rb]_client cblless.anti-spam.org.cn, 


reject_rb]_client sbl-xbl.spamhaus.org 


# 这 个 设 定 项 目 则 是 与 客户 疾 有 关 的 设 定 ! 拒绝 客户 端 本 身 束 是 黑 名 单 
的 一 


! 


SI 


smtpd_sender_restrictions = reject_non_fqdn_sender, 
reject_unknown_sender_ domain 

# 此 项 目 则 在 抵挡 不 明 的 送 件 者 主机 网 域 哆 ! 与 DNS 有 关系 的 哪 ! 
[root@www ~]# /etc/init.d/postfix restart 


上 表 当 中 的 特殊 字体 部 分 freject_rbl_clientJ 是 postfix 内 的 一 个 设 定 项 
目 ， 后 面 


可 以 接 因 特 网 上 提供 的 黑 名 单 ! 您 得 要 注意 的 是 ， 这 个 黑 名 单数 据 库 


可 能 会 持续 的 变 


动 ， 请 您 完 以 dig 的 方式 检查 每 个 数据 库 是 否 真 的 存在 ， 如 采 存 在 才 
加 以 设 定 在 您 的 


主机 上 头 啊 ! (因为 因特网 上 头 很 多 文献 所 提供 的 墨 名 单数 据 库 似 乎 已 
经 不 再 持续 服务 


的 样子 ! ) 
0 
检查 你 的 邮件 服务 器 古 否 在 黑 名 单 当中 ? 


既然 黑 名 单数 据 库 所 记录 的 是 不 受 欢 迎 的 来 源 与 目标 MTA ， 那 么 您 的 
MTA 当然 最 


好 不 要 在 该 数据 库 中 嘛 1! 同时 这 些 数据 库 通常 也 都 有 提供 检测 的 功 
能 ， 所 以 你 也 可 以 


用 该 功能 来 检查 你 的 主机 是 否 『 记 录 有 和 案 4 呢 ? 你 可 以 这 样 处 理 的 : 
1. 是 否 已 在 黑 名 单数 据 库 中 : 


确认 的 方法 很 简单 ， 直 接 到 _Thttp:wcblLabuseat'orgylookup.cgi 」 输 入 您 
的 


主机 名 或 者 是 IP ， 丈 可 以 检查 是 否 已 经 在 黑 名 单 当 中 
2. 是 否 具 有 Open Relay: 
如 果 要 测试 你 的 主机 有 没有 Open Relay ， 直 接 到 


[Thttp://rs.edu.tw/tanet/spam.html 4 这 个 网 页 ， 在 这 个 网 页 的 最 下 方 可 
以 


输入 你 的 卫 来 检查 ， 注 意 喔 ， 不 要 使 用 别人 的 email IP 呐 ! 此 时 该 主 
机 会 

发 出 一 封 mail 的 测试 信 看 看 你 的 mail server 会 不 会 主动 的 代 转 ， 然 后 
将 结 

net.giang@hotmail.com 
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果 回 报 给 您 。 要 注意 的 是 ， 回 传 的 网 页 可 能 有 编码 的 问题 ， 如 果 出 现 
乱码 时 ， 请 


调整 为 big5 编码 即 可 。 
3. 如 何 移 除 : 


如 果 被 检查 出 ， 您 的 主机 已 经 在 黑 名 单 当 中 ， 那 么 请 了 立刻 将 Open 
Relay 的 功能 


关闭， 改善 你 的 Mail Server 之 后 ， 你 可 能 还 要 到 各 个 主要 的 Open 
Relay 网 


引进 行 移 除 的 工作 。 如 果 是 学 术 网 络 的 话 ， 请 与 从 单位 的 管理 员 联 
络 。 至 于 一 


般 常 见 的 黑 名 单数 据 库 则 通常 会 主动 的 帮 您 移 除 ， 只 不 过 需要 一 些 时 
间 的 测试 束 


是 了 。 


总 之 您 必须 要 确定 你 不 在 墨 名 单 当 中 ， 且 最 好 将 黑 名 单 的 来 源 给 拒绝 


22.5.3 邮件 过 滤 三 : 基础 的 邮件 过 滤 机 制 


在 整 封 信 的 传送 流程 当中 ， 客 户 端 若 通 过 主机 的 重重 限制 后 ， 最 终 应 
该 可 以 到 达 邮 


件 队 列 当 中 。 而 由 队列 当中 要 送出 去 或 者 是 直接 送 到 mailbox 就 得 要 
透 过 MDA 的 处 


理 。MDA 可 以 加 挂 很 多 机 制 呢 ! 尤其 是 他 可 以 过 滤 某 些 特殊 字眼 的 广 
告 信件 或 病毒 信 


件 呢 ! MDA 可 以 透 过 分 析 整 封 信件 的 内 容 (包括 标 头 以 及 内 文 ) 来 撒 
取 有 问题 的 关键 


词 ， 然 后 决定 这 封 信 的 『 命 运 4 说 ! 


明 们 的 postfix 已 经 有 内 建 可 以 分 析 标 头 或 者 是 内 文 的 过 滤 机 制 了 ， 那 


瓯 是 


/etc/postfix/ 目录 下 的 header_checks 以 及 body_checks 这 两 个 档案 啊 ! 
在 预 设 的 


I postfix 使 用 ， 你 必需 要 用 底下 的 设 定 来 启用 
也 : 


[root@www ~]# vim /etc/postfix/main.cf 

header_checks = regexp:/etc/postfix/header_checks 
body_checks = regexp:/etc/postfix/body_checks 

# 那个 regexp 代表 的 是 『 使 用 正规 表示 法 J 的 意思 啦 ! 


[root@www ~]# touch /etc/postfix/header_checks 
[root@www ~]# touch /etc/postfix/body_checks 


[root@www ~]# /etc/init.d/postfix restart 


接 下 来 你 必需 要 上 自行 处 理 header_checks 以 及 body_checks 的 规则 设 
定 ， 在 设 定 前 请 


您 确认 『 你 对 于 正规 表示 法 是 熟悉 的 4 才 行 ! 因为 很 多 信息 都 必需 要 
透 过 正规 表示 法 


来 处 理 啦 ! 然后 开始 设 定 的 依据 是 : 

0 只 要 是 # 代 表 该 行为 批注 ， 系 统 或 直接 略 过 ; 
0 在 默认 的 规则 当中 ， 大 小 写 古 视 为 相同 的 ; 

0 规则 的 设 定 方 法 为 : 


net.giang@hotmail.com 
O 
/规则 / 动作 显示 在 登录 文件 里 面 的 讯息 


0 要 使 用 两 个 料 线 『/4 将 规则 包 起 来 喔 ! 举 个 例子 来 说 明 : 例 


我 想 要 (1) 抵 挡 掉 标题 为 A funny game 的 信件 ，(2) 并 且 在 登录 文件 里 面 


站 小 \ 


drop header deny， 则 可 以 在 header_chekcs 档案 中 可 以 这 样 写 : 
/ASubject:.*A funny game/ DISCARD drop header deny 
0 关于 动作 有 展 下 儿 个 动作 : 


0 REJECT : 将 该 封 信 件 退 回 给 原 发 信者 ; 


oO WARN : 
将 信件 收 下 来 ， 但 是 将 该 封 信 的 基本 数据 记录 在 登录 文件 内 ; 
o DISCARD: 将 该 封 信件 丢弃 ， 并 不 给 予 原 发 信者 回应 | 


马 哥 目 己 有 作 一 些 规 则 的 比 对 ， 只 不 过 .…. 效 能 不 好 ! 如 采 您 有 兴趣 的 
话 ， 可 以 


自行 下 载 来 看 看 ， 不过， 使 用 的 后 果 请 自行 评估 ! 因为 每 个 人 的 环境 
都 不 一 样 嘛 ! 


LD header: 


http:/Ninux.vbird.org/linux server/0380mail/header checks 

记得 ， 如 果 你 目 行 修改 过 这 两 个 档案 后 ， 务 必要 检查 一 下 语法 才 行 ! 
[root@www ~]# postmap -gq - regexp:/etc/postfix/body_checks \ 

> < /etc/postfix/body_checks 


如 琳 没 有 出 现任 何 错 误 ， 那 束 表 示 您 的 设 定 值 应 该 没有 问题 啦 1 为 
外 ， 你 也 可 以 使 用 


procmail 这 个 抵挡 的 小 程序 来 处 理 。 不 过 ， 乌 哥 觉 得 procmail 在 大 型 
邮件 主机 当中 ， 


分 析 的 过 程 太 过 于 壹 杂 ， 会 消耗 很 多 CPU 资源 ， 因 此 后 来 部 没有 使 用 
这 玩意 儿 了 。 


22.5.4 非 信任 来 源 的 Relay: 开放 SMTP 身份 认证 


在 图 22.1-1 的 流程 当中 ， 由 MUA 透 过 MTA 来 寄 发 信件 时 (具有 Relay 
的 动作 


时 )， 理 论 上 MTA 必需 要 开放 信任 用 户 来 源 才 行 ， 这 就 是 为 啥 我 们 必 
需要 在 main.cf 里 


头 设 定 smtpd_recipient_restrictions 那个 设 定 项 目的 原因 了 
(mynetworks)! 不 过 


人 总 有 不 方便 的 时 候 ， 举 例 来 说 ， 如 果 你 的 客户 端 使 用 的 是 拨 接 制 的 
ADSL 所 以 每 次 取 


得 的 IP 都 非 固 定 ， 那 如 何 让 你 的 用 户 使 用 你 的 MTA ? 很 麻烦 生 吧 ? 
这 个 时 候 SMTP 


认证 或 许 有 抬 帮 助 。 


什么 是 SMTP 呢 ? 就 是 让 你 在 想 要 使 用 MTA 的 port 25 (SMTP 协议 ) 
时 ， 得 要 输 

入 账号 密码 才能 够 使 用 的 意思 ! 既然 有 了 这 个 认证 的 功能 ， 于 是 乎 ， 
你 就 可 以 不 用 设 定 

MTA 的 信任 用 户 项 目 ! 举例 来 说 ， 在 本 章 提 到 的 环境 下 ， 你 可 以 不 用 


设 定 mynetworks 这 


个 设 定 值 啊 ! 启动 SMTP 认证 ， 让 你 的 用 户 需 要 输入 账 密 才 能 Relay 
史 ! 那 如 何 让 SMTP 
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支持 身份 认证 ?咱们 的 CentOS 已 经 有 提供 内 建 的 认证 模块 ， 那 就 是 
Cyrus SASL 这 个 


软件 的 帮忙 啦 ! 


Authentication and Security Layer 的 缩写 ， 他 是 一 个 辅助 的 软件 。 在 
SMTP 认证 方面 ，Cyrus 主要 


提供 了 saslauthd 这 个 服务 来 进行 账号 密码 的 比 对 动作 ! 也 束 古 说 ， 当 
有 任何 人 想 要 


进行 邮件 转 递 功能 时 ， Postfix 会 联络 saslauthd 请 其 代为 检查 账号 密 
码 ， 奉 比 对 通 


过 则 允许 客户 端 开 始 转 寄 信件 。 
好 了 ， 如 有 果 你 想 要 使 用 最 简单 的 方式 ， 融 是 直接 透 过 Linux 目 己 的 帐 


密 来 进行 


SMTP 认证 功能 ， 而 不 使 用 其 他 如 SQL 数据 库 的 吴 份 认证 时 ， 在 
CentOS 当中 你 应 该 要 


这 样 做 : 

1. 安装 cyrus-sasl, cyrus-sasl-plain, cyrus-sasl-md5 等 软件 ; 
2. 启动 saslauthd 这 个 服务 ; 

3. 设 定 main.cf 让 postfix 可 以 与 saslauthd 联系 ; 

4. 客户 端 必需 要 在 寄 信 时 设 定 『 邮 件 主机 认证 4 功能。 


如 此 一 来 客户 端 才能 够 启动 SMTP AUTH 喔 ! 关于 软件 安装 方面 ， 请 
使 用 yum 直接 


安装 吧 ! 不 再 多 哆 唆 ! 底下 我 们 由 局 动 saslauthd 这 个 服务 开始 谈 起 
吧 ! 


D 
启动 saslauthd 服务 :进行 SMTP 明码 身份 验证 功能 


saslauthd 是 Cyrus-SASL 提供 的 一 个 账号 密码 管理 机 制 ， 他 能 够 进行 插 
多 的 数据 


库 验 证 功能 ， 不 过 这 里 我 们 仅 使 用 最 单纯 简单 的 明码 验证 (PLAIN)! 
如 琳 我 们 想 要 直 


接 使 用 Linux 系统 上 面 的 用 户 信息 ， 世 束 是 /etc/passwd, /etc/shadow 所 
记载 的 账 


号 密码 相关 信息 时 ， 可 以 使 用 saslauthd 提供 的 『 shadow J 这 个 机 制 ， 


用 『pam J 啦 ! 更 多 的 saslauthd 联机 至 MTA 的 机 制 请 『 man 
saslauthd 4 来 查阅 


吧 。 由 于 我 们 的 帐 密 可 能 来 自 网 络 其 他 类 似 NIS 服务 器 ， 因 此 这 里 建 
议 可 以 使 用 pam 


模块 喔 ! 


saslauthd 的 启动 真是 好 简单 ， 首 先 你 必需 要 选择 密码 管理 机 制 ， 这 个 
可 以 使 用 发 


下 的 方式 处 理 : 
#1. 先 了 解 你 的 saslauthd 有 支持 哪些 密码 管理 机 制 |: 


[root@www ~ ]# saslauthd -v 

saslauthd 2.1.23 

authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap 
# 上 列 的 特殊 字体 部 分 束 是 有 文 持 的 ! 

我 们 要 直接 用 Linux 本 机 的 用 户 信息 ， 

# 所 以 用 pam 即 可 ， 当 然 也 能 够 使 用 shadow 啦 。 
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# 2. 在 saslauthd 配置 文件 中 ， 选 定 pam 的 验证 机 制 : 


[root@www ~]# vim /etc/sysconfig/saslauthd 
MECH=pam <== 其 实 这 也 是 默认 值 啊 ! 

# 这 也 是 默认 值 ， 有 的 朋友 喜欢 单纯 的 shadow 机 制 ， 也 可 以 啦 ! 
# 3. 那 就 局 动 吧 ! 

[root@www ~]# /etc/init.d/saslauthd start 


[root@www ~]# chkconfig saslauthd on 


之 后 我 们 必需 要 告知 Cyrus 这 个 吃 吃 使 用 来 提供 SMTP 服务 的 程序 为 
saslauthd 才 


行 ， 设 定 的 方法 很 简单 : 

[root@www ~]# vim /etc/sasl2/smtpd.conf 

log_level: 3 <== 登 录 文 件 信 息 等 级 的 设 定 ， 设 定 3 即 可 
pwcheck_method: saslauthd <== 歼 是 选择 什么 服务 来 负责 密码 的 比 对 啊 
mech_list: plain login <== 那 么 支持 的 机 制 有 哪些 之 意 ! 


我 们 可 以 使 用 mech_list 列 出 特定 支持 的 机 制 。 而 且 saslauthd 是 个 很 窗 
单 的 账号 密 


码 管理 服务 ， 你 几乎 不 需要 进行 什么 额外 的 设 定 ， 直 接 局 动 他 就 生效 
了 上 ! 真是 好 方便 ! 


A 和 
吕 
更 改 main.cf 的 设 定 项 目 : 让 postfix 支持 SMTP 号 份 验 证 


postfix 该 如 何 处 理 呢 ? 其 实 设 定 真 的 很 简单 ， 只 要 这 样 做 束 
于 


[root@www ~]# vim /etc/postfix/main.cf 


# 在 本 档案 最 后 面 增加 这 些 与 SASL 有 关 的 设 定 资 料 : 


smtpd_sasl_auth_enable = yes 
smtpd_sasl_security_options = noanonymous 


broken_sasl_auth_ clients = yes 


# 然后 找到 跟 relay 有 关 的 设 定 项 目 ， 增 加 一 段 允许 SMTP 认证 的 字 
样 : 


smtpd_recipient_restrictions = 

permit_ mynetworks, 

permit_sasl_authenticated, <== 重 点 在 这 里 ! 注意 顺序 ! 
reject_unknown_sender_domain, 
reject_unknown_recipient_domain, 
reject_unauth_destination, 

reject_rbl_client cbl.abuseat.org, 

reject_rb]_client bl.spamcop.net, 
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reject_rbl_client cblless.anti-spam.org.cn, 
reject_rb]_client sbl-xbl.spamhaus.org, 
check_policy_service unix:/var/spool/postfix/postgrey/socket 


[root@www ~]# /etc/init.d/postfix restart 


上 面 关 于 SASL 的 各 个 项 目的 意义 是 这 样 的 : 
D smtpd_sasl_auth_enable 


就 是 设 定 是 否 要 启动 sasl 认证 的 意思 ， 如 果 设 定局 动 后 postfix 会 主动 
去 加 


载 cyrus sasl 的 函 式 库 ， 而 该 函 式 库 会 依据 /etc/sasl2/smtpd.conf 的 设 定 
来 连结 到 正确 的 管理 账号 与 密码 的 服务 。 


L smtpd_sasl_security_options 


由 于 不 想 要 让 匿名 者 可 以 登入 使 用 SMTP 的 Relay 功能 ， 于 是 这 个 项 
由 中 六 要 


设 定 noanonymous 即 可 。 


D broken_sasl_auth_clients 


这 个 是 针对 早期 非 正规 MUA 的 设 定 项 目 ， 因 为 早期 软件 开发 商 在 开发 
MUA 时 没 


有 参考 通讯 协议 标准 ， 所 以 造成 在 SMTP 认证 时 可 能 会 发 生 的 一 些 困 
二 这 性 


有 问题 的 MUA 例如 MS 的 outlook express 第 四 版 就 是 这 样 ! 后 来 的 版 
本 应 


该 没有 这 个 问题 。 所 以 这 个 设 定 值 你 也 可 以 不 要 设 定 ! 
[| smtpd_recipient_restrictions 


最 重要 的 就 是 这 里 啦 ! 我 们 的 sasl 认证 可 以 放 在 第 二 行 ， 在 局 域 网 络 
这 个 可 信 


任 区域 的 后 面 加 以 认证 。 上 表 的 设 定 意义 是 ， 局 域 网 络 内 的 MUA 不 
需要 认证 也 


能 够 进行 relay ， 而 非 区 网 内 的 其 他 来 源 才 需要 进行 SMTP 认证 之 意 。 
定 完 毕 也 重新 局 动 postfix 之 后 ， 我 们 先 来 测试 看 看 十 否 真 的 提供 认 


[root@www ~ |]# telnet localhost 25 

Trying 127.0.0.1... 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is 'A\]'. 

220 www.centos.vbird ESMTP Postfix 

ehlo localhost 

250-www.centos.vbird 

250-PIPELINING 

250-SIZE 10240000 

250-VRFY 


250-ETRN 


250-AUTH LOGIN PLAIN <== 你 得 要 看 到 这 两 行 才 行 喝 ! 
250-AUTH=LOGIN PLAIN 
250-ENHANCEDSTATUSCODES 


net.giang@hotmail.com 


admtsai@www.centos.vbird 奇 件 伺服 器 (SMTP) 设 定 
伍 荡 器 设 证 
居 分 生 宇 全 下 痊 然 你 可 设 定 多 便 震 件 同 深 器 (SMTP) ， 但 通 喜 讽 定 一 个 就 先 了 ， 设 定 过 多 息 运 成 雪 运 丘 读 。 


设 定 

器 明 (QD): 

伺 运 苇 例 绒 (9S): www.centos.vbird 
Port (P): 25 预 级 :25 


SMTP 密 件 僻 脱 如 


实 全 所 请 塌 
运 党 安全 管 (N): 
的 直方 式 0: 
使 与 从 全 笃 (0): 


250-8BITMIME 

250 DSN 

quit 

221 2.0.0 Bye 

[0 

在 客户 端 启 动 支 持 SMTP 身份 验证 的 功能 : 以 thunderbird 设 定 为 例 


既然 已 经 在 MTA 设 定 了 SMTP 身份 验证 ， 那 么 我 们 MUA 当然 要 传送 
账号 、 密 码 给 


MTA 才能 通过 SMTP 的 验证 嘛 ! 所 以 , 在 MUA 上 面 就 得 要 加 上 一 些 
额外 的 设 定 才 行 。 


我 们 依旧 以 Thunderbird 来 作为 介绍 ， 请 打开 thunderbird， 选 择 『 工 
具 J --> 了 账号 


设 定 」 后 会 出 现 如 下 画面 : 
图 22.5-1、 在 Thunderbird 软件 中 设 定 支 持 SMTP 验证 的 方式 


请 依据 上 图 的 身 头 号 码 来 指定 ， 先 选择 (1D)SMTP 寄 件 服务 器 ; ， 然 后 
选择 所 需要 


的 寄 件 SMTP 服务 器 后 ， 点 选 (3) 编 辑 ， 就 会 出 现 上 图 中 的 窗口 项 目 。 
选择 (4) 不 安 


全 传输 的 密码 后 ， 在 (5) 填 入 你 要 使 用 的 账号 即 可 。 如 琳 要 测试 的 话 ， 
记得 此 客户 端 


不 要 在 局 域 网 络 内 ， 否 则 将 不 会 经 过 认证 的 阶段 ， 因 为 我 们 的 设 定 以 
信任 网 域 为 优先 嘛 ， 


如 条 一 切 都 顺利 的 话 ， 那 么 当 客 户 端 以 SMTP 来 验证 时 ， 你 的 登录 档 
应 该 会 出 现 类 


似 底下 的 讯息 才 是 : 


net.giang@hotmail.com 


0 


第 二 步 司 
EHLO 控 手 


< 暑 示 的 e 是 ISP 的 MTA 


NS 
Mk 


们 的 MM 目标 MN 
[root@www ~]# tail -n 100 /var/log/maillog | grep PLAIN 


Aug 10 02:37:37 www postfix/smtpd[18655]: 01CD43712: 
client=vbirdwin7 


[192.168.100.30], sasl method=PLAIN, sasl username=dmtsai 
22.5.5 非 固 定 IP 邮件 服务 器 的 春天 : relayhost 


我 们 上 面 提 到 ， 如 果 你 要 架设 一 部 合法 的 MTA 最 好 还 是 得 要 申请 固定 
的 IP 以 及 


正确 对 应 的 反 解 比较 恰当 。 但 如 果 你 一 定 要 用 浮动 IP 来 架设 你 的 
MTA 的 话 ， 也 不 是 


不 可 以 啦 ， 尤 其 今年 (2011) 光纤 到 府 已 经 可 达 50M/5Mbps 的 下 载 /上 传 
速度 了 ! 你 当 


然 可 以 用 家 寿 网 络 来 以 站 啊 ! 只 不 过 你 就 得 要 通过 上 层 ISP 所 提供 的 
relay 权限 鹃 


这 是 怎么 回 事 啊 ? 让 我 们 来 看 看 一 个 实际 的 案例 : 
图 22.5-2、Relayhost: 利用 ISP 的 MTA 进行 邮件 转 递 


当 你 的 MTA 要 传 信件 给 目标 MTA 时 ， 如 果 直 接 传 给 目标 MTA ， 由 于 
你 的 IP 可 能 


是 非 固定 的 ， 因 此 对 方 MTA 仅 怕 会 把 你 当成 是 垃圾 来 源 ! 那 如 果 我 们 
可 以 透 过 ISP 进 


行 转 递 呢 ? 从 上 面 的 图 示 来 看 ， 当 你 要 传 给 目标 MTA 时 : (1) 先 将 信 
件 交 给 你 的 ISP， 


因为 你 是 ISP 的 客户， 通 贡 来 信 都 会 被 ISP 接受 ， 因 此 这 个 时 候 这 封 
信 束 会 被 你 的 


ISP 给 relay 出 去 ; (2) 被 ISP 所 relay 的 信件 到 目标 MTA 时 ， 对 方 会 判 
靳 征 来 目 


那 部 ISP 的 MTA， 当 然 是 合法 的 mail server， 所 以 该 封 信 件 就 毫 无 疑 
问 的 被 收 下 鹃 ! 


和 人 和 


不 过 想 要 以 此 架构 来 架设 你 的 MTA 仍 有 许多 需要 注意 的 地 方 : 
0 你 还 古 得 要 有 一 个 合法 的 主机 名 ， 大 要 省 钱 ， 可 以 使 用 DDNS 来 处 


0 你 上 层 的 ISP 所 提供 的 MTA 必需 要 有 提供 你 所 在 IP 的 relay 权限 ; 
0 你 不 能 使 用 目 定 义 的 内 部 DNS 架构 了 ， 因 为 所 有 relay 的 信和 都 会 被 送 
至 


ISP 的 MTA 
net.giang@hotmail.com 


0 


尤其 是 最 后 一 点 ， 因 为 所 有 外 送 的 信件 全 部 都 会 被 送 到 ISP 处 ， 所 以 
像 我 们 之 前 


目 己 玩 的 centos.vbird 这 种 非 合 法 的 领域 数据 吏 没 用 了 ! 为 什么 呢 ? 你 
想 想 看 ， 如 宁 


你 要 将 信件 送 给 www.centos.vbird， 但 由 于 上 述 relayhost 的 功能 ， 所 
以 这 封 信 会 pa 


被 传 到 ISP 的 MTA 来 处 理 ， 但 ISP 的 MTA 会 不 会 认识 你 的 
centos.vbird? 这 样 说 ， 


可 以 理解 了 吧 ? 


说 是 挺 难 鸭 ， 做 起 来 却 很 简单 ， 只 要 在 main.cf 里 面 加 设 一 段 数据 即 
可 。 假设 你 


的 环境 是 台湾 地 区 的 hinet 所 提供 的 用 户 ， 而 hinet 提供 的 邮件 主机 为 
msl.hinet.net ， 则 你 可 以 直接 这 样 设 定 : 

[root@www ~]# vim /etc/postfix/main.cf 

# 加 入 底下 这 一 行 就 对 啦 ! 注意 那个 中 括号 ! 

relayhost = [msl.hinetnet] 


[root@www ~]# /etc/init.d/postfix restart 


后 你 只 要 竹 试 寄 一 封 信 出 去 看 看 ， 束 会 了 解 这 封 信 征 如 何 寄 送 的 
了 看 一 下 登录 档 的 


内 容 会 像 这 样 : 


[root@www ~]# tail -n 20 /var/log/maillog 
Aug 10 02:41:01 www postfix/smtp[18775]: AFCA53713: 
to=<gqdd@mail.ksu.edu.tw>, 


relay=msl.hinet.net[168.95.4.10]:25, delay=0.34, 


delays=0.19/0.09/0.03/0.03， 
dsn=2.0.0, status=sent (250 2.0.0 Ok: gueued as F0528233811) 


是 吧 ! 经 由 上 层 ISP 来 转 寄 啦 ! 如 此 一 来 ， 你 的 MTA 感觉 上 就 似乎 是 
部 合法 的 MTA 嗓 ! 


不 过 ， 可 别 利 用 这 个 权限 来 瀑 发 广告 信 啊 ! 因为 您 所 透 过 的 那个 ISP 
邮件 主机 可 是 有 


记录 你 的 耳 来 源 ， 如 果 你 乱 来 的 话 ， 后 果 可 是 不 坊 设想 喔 ! 切记 切 
记 ! 


22.5.6 其 他 设 定 小 技巧 


除了 之 前 谈 到 的 几 个 主要 的 设 定之 外 ， postfix 还 有 提供 一 些 不 错 的 设 
定 要 给 


家 使 用 的 喔 ! 我 们 可 以 一 个 一 个 来 来 看 看 : 
UD 

单 封 信件 与 单个 邮件 信箱 的 大 小 限制 
net.giang@hotmail.com 


在 预 设 的 情况 下 ，postfix 可 接受 的 单 封 信件 最 大 容量 为 10MBytes ， 不 
过 这 个 数 


值 我 们 十 可 以 更 改 的 ， 动 作 很 简单 : 


[root@www ~]# vim /etc/postfix/main.cf 
message_size_limit = 40000000 
[root@www ~]# postfix reload 


上 面 的 单位 是 bytes， 所 以 我 将 单 封 信件 可 接受 大 小 改 为 40MByte 的 意 
思 啦 ! 请 按照 


你 的 环境 来 规定 这 个 数值 。 而 从 前 我 们 要 管制 /var/spool/mail/account 
大 和 是 使 用 


文件 系统 内 的 quota 来 达成 ， 现在 的 postfix 不 需要 啦 ! 可 以 这 样 做 : 
[root@www ~]# vim /etc/postfix/main.cf 

mailbox_size_limit = 1000000000 

[root@www ~]# postfix reload 

我 给 每 个 人 1GB 的 空间 啊 ! ^ 和 

0 

寄 件 备份 ，SMTP 自动 转 寄 一 份 到 备份 匣 


收 件 备份 我 们 知道 可 以 使 用 /etc/aliases 来 处 理 的 ， 但 是 如 果 想 要 送 件 
也 备份 呢 ? 


利用 故 下 的 方式 即 可 : 


[root@www ~]# vim /etc/postfix/main.cf 
always_bcc = some@host.name 


[root@www ~]# postfix reload 


如 此 一 来 任何 人 寄 出 的 信件 都 会 复制 一 份 给 some@host.name 那个 信 
箱 。 不 过 ， 除 非 您 


的 公司 很 重视 一 些 商 业 机 密 ， 并 且 已 经 公告 过 所 有 同仁 ， 否 则 进行 这 
个 设 定 值 ， 乌 哥 


个 人 认为 侵犯 隐私 权 很 严重 ! 
0 
配置 文件 的 权限 问题 : 权限 错误 会 不 能 局 动 postfix 


这 部 份 我 们 以 Sendmail 官方 网 站 的 建议 来 说 明 喔 ! 其 实 也 适用 于 
postfix 的 啦 ! 


其 中 ， 大 部 分 是 在 于 『 目 孙 与 档案 权限 4 的 设 定 要 求 上 面 : 
0 请 确定 /etc/aliases 这 个 档案 的 权限 ， 仅 能 由 系统 信任 的 账号 来 修改 ， 
通 


通 

党 其 权限 为 644 ; 

net.giang@hotmail.com 

0 请 确定 Mail server 读 取 的 数据 库 (多 半 在 /etc/mail/ 或 
/etc/postfix/ 压 下 的 *.db 档案 )， 例 如 mailertable, access， 


virtusertable 等 等 ， 仅 能 由 系统 信任 的 用 户 读 取 ， 其 他 一 概 不 能 读 取 ， 
通 单 权 


限 为 640 ; 
0 系统 的 队列 目录 (/var/spool/mqueue 或 /var/spool/postfix) 仅 人 允许 系 
统 读 取 ， 通 第 权 限 为 700 : 


0 请 确定 ~/.forward 这 个 档案 的 权限 也 不 能 设 定 成 为 任何 人 均 可 查阅 的 
权 


限 ， 否 则 您 的 e-mail 数据 可 能 会 被 窃取 一 
0D 总 之 ， 一 般 用 户 能 够 不 用 ~/.forward 与 aliases 的 功能 ， 就 不 要 使 用 ! 


不 过 整体 的 使 用 上 还 是 需要 号 为 网 站 管理 员 的 您 多 费心 ! 多 多 观察 登 
录 档 啊 ! 


0 
备份 资料 ， 与 mail 有 关 的 目录 是 哪些 ? 


不 管 什么 时 候 ， 备 份 总 是 重要 的 ! 那么 如 果 我 是 单纯 的 Mail Server 而 
已 ， 我 需 


要 的 备份 数据 有 哪些 呢 ? 

D /etc/passwd, /etc/shadow, /etc/group 等 与 账号 有 关 的 资料 ; 

D /etc/mail, /etc/postfix/ 底下 的 所 有 档案 数据 ; 

吕 /etc/aliases 等 等 MTA 相关 档案 ; 

0 home 底下 的 所 有 用 户 数据 ; 

0 /var/spool/mail 底下 的 档案 与 /var/spool/postfix 邮件 队列 档案 ; 
口 其 他 如 广告 软件 、 病 毒 扫 瞄 软件 等 等 的 设 定 与 定义 档 。 

0 

错误 检查 ， 查 出 不 能 启动 postfix 的 问题 流程 


虽然 Mail 很 方便 ， 但 是 仍然 会 有 无 法 将 信件 寄 出 的 时 候 ! 如 果 您 已 经 
设 定好 MTA 


了 ， 但 是 总 是 无 法 将 邮件 寄 出 去 ， 那 可 能 是 什么 问题 呢 ? 你 可 以 这 样 
仍 踩 看 看 : 


1. 天 于 硬件 配备 : 


例如 ， 是 否 没有 驱动 网 卡 ? 是 否 调 制 解 调 右 出 问题 ? 古 否 hub 热 当 
啦 ? 是 否 路 


由 器 停止 服务 等 等 的 ! 
2. 天 于 网 络 参 数 的 问题 : 


如 果 连 不 上 Internet ， 那 么 哪里 来 的 Mail Server 呢 ? 所 以 请 先 确 认 你 的 
网 


络 已 经 正常 的 启用 了 |! 
来 处 理 。 


net.giang@hotmail.com 


3. 天 于 服务 的 问题 : 


请 务必 确认 与 mail server 有 关 的 塌 口 已 经 顺利 局 动 ! 例如 port 25, 110， 
143, 


993, 995 等 等 ， 使 用 netstat 指令 即 可 了 解 是 否 已 经 启动 该 服务 ! 
4. 关于 防火 墙 的 问题 : 


很 多 时 候 ， 很 多 朋友 使 用 Red Hat 或 者 其 他 Linux distribution 提供 的 防 


普 设 定 软 件 ， 结 果 息 了 启动 port 25 与 port 110 的 设 定 ， 导 致 无 法 收发 
信件 ! 


请 特别 留意 这 个 问题 喔 ! 可 以 使 用 iptables 来 检查 是 否 已 经 启用 该 port 
呢 ! 


5. 天 于 配置 文件 的 问题 : 


在 启动 postfix 或 者 是 sendmail 之 后 ， 在 登录 档 当 中 仔细 看 看 有 无 错误 
讳 已 


生 ? 通 第 如 果 设 定数 据 不 对 ， 在 登录 文件 当中 都 会 有 记载 错误 的 地 


6. 其 他 档案 的 设 定 问题 : 


(1) 如 琳 发 现 只 有 茶 个 domain 可 以 收 信 ， 其 他 的 同一 主机 的 domain 无 
法 收 信 ， 


需要 检查 $mydestination 的 设 定 值 才 行 ; (2) 如 果 发 现 邮件 被 挡 下 来 
丁 炎 而 星 


老 是 显示 reject 的 字样 ， 那 么 可 能 被 access 挡住 了 ; (3) 如 果 发 现 邮 件 
队列 


(mailg) 存在 很 多 的 邮件 ， 可 能 是 DNS 死 掉 了 ， 请 检查 /etc/resolv.conf 
的 


设 定 是 否 正确 ! 
7. 其 他 可 能 的 问题 : 


最 单 发 生 的 束 是 认证 的 问题 了 ! 这 是 由 于 使 用 着 没有 在 MUA 上 面 设 定 
[我 的 邮 


件 需要 认证 4 的 选项 啦 ! 请 叫 你 的 用 户 赶紧 勾 选 吧 
8. 还 古 不 知道 问题 的 解决 方案 : 


如 果 还 是 查 不 出 问题 的 话 ， 那 么 请 务必 检查 您 的 /var/log/maillog (有 的 
时 候 


是 /var/log/mail ， 这 个 要 看 /etc/syslog.conf 的 设 定 )， 当 你 寄 出 一 封 信 的 


时 候 ， 例 如 dmtsai 寄 给 bird2@www.centos.vbird 时 ， 那 么 maillog 档案 
时 


面 会 显示 出 两 行 ， 一 行为 from dmtsai 一 行为 to 
bird2@www.centos.vbird， 也 


就 是 『 我 由 哪里 收 到 信 ， 而 这 封 信 会 寄 到 哪里 去 ! 4 的 意思 ， 由 这 两 
行 束 可 以 了 


解 问题 了 ! 尤其 是 to 的 那 一 行 ， 里 面包 含 了 相当 多 的 有 用 信息 ， 包 丘 
邮件 无 法 


传送 的 错误 原因 的 纪录 ! 如 果 您 对 于 登录 档 不 熟 ， 请 拿 出 『 基 础 学 习 
篇 」 里面 


22.6 重点 回顾 


0 电子 邮件 服务 器 的 设 定 需要 特别 留意 ， 以 免 被 作为 广告 信 与 垃圾 信 的 


跳板 ; 
0 Mail server 使 用 的 主机 名 至 少 需要 A 的 DNS 标志 ， 不 过 最 好 能 够 具 
有 


MX 标志 为 宜 ， 且 正 反 解 最 好 成 对 ， 比较 可 以 避免 大 型 mail server 的 
抵挡 ; 


0 邮件 服务 器 主要 是 指 SMTP (简单 邮件 传送 协议 ) 而 已 ， 不 过 要 架设 一 
部 可 


利用 类 似 Thunderbird 收发 的 邮件 服务 絮 ， 最 好 能 够 具有 SMTP 以 及 
POP3 等 


通讯 协议 ; 
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0 


0 电子 邮件 传送 的 组 件 ， 主 要 有 MUA, MTA, MDA 以 及 最 终 的 Mailbox 
众人. 


0 电子 邮件 服务 器 最 需要 搞定 的 地 方 其 实 是 Relay 的 功能 ， 千 万 不 可 
Open 


Relay 喔 ! 


0 一 封 电子 邮件 至 少 舍 有 header 以 及 body 等 数据 在 内 上 

0 常见 的 可 以 启动 SMTP 的 软件 有 sendmail, postfix 及 qmail 等 等 。 
0 
若 需 要 某 些 功能 必需 将 邮件 地 址 放 在 网 络 上 时 ， 最 好 能 够 拥有 两 个 邮 
件 地 址 ， 

一 个 用 来 公开 ， 一 个 则 用 来 作为 自己 的 主要 联络 之 用 。 
22.7 本 章 习 题 

0 当 你 利用 你 的 MTA 发 信 时 ， 结 果 竟 然 被 退 信 ， 退 信 的 讯息 


(/var/log/maillog) 最 主要 的 错误 是 fmail loop to me4 ， 请问 可 能 的 发 
生 


原因 及 处 理 方式 为 何 ? 


可 能 发 生 的 原因 是 由 于 你 的 MTA 设 定 项 目 方面 的 主机 名 错误 。 判 断 你 
的 


MTA 主机 有 多 个 IP 存在 ， 不 过 你 并 未 完全 写 入 配置 文件 中 ， 因 此 造 
成 某 些 主 


机 名 无 法 被 MTA 所 接收 之 故 。 在 sendmail 方面 ， 你 只 要 将 需要 的 主 
机 名 写 入 


/etc/mail/local-host-names 即 可 ， 如 果 是 postfix ， 则 在 
/etc/postfix/main.cf 当中 修改 $mydestination 那个 设 定 项 目 即 可 。 

0 请 列 出 四 个 Mail Server 的 相关 的 组 件 ， 以 及 其 功用 为 何 ? 

o Mail Client : 邮件 客户 端 ， 其 实 就 是 使 用 mail 的 那 位 用 户 所 在 的 
计算 机 即 可 称 为 mail client ; 


0 Mail User Agent : 为 一 个 应 用 软件 ， 主 要 的 功能 就 是 收受 邮件 主机 
的 电子 邮件 ， 以 及 提供 用 户 浏览 与 编写 邮件 的 功能 ， 

o Mail Transfer Agent : 为 在 计算 机 与 本 地 端 Mail server 或 

Internet 上 面 的 Mail server 传送 讯息 与 邮件 的 主机 ; 

o Mail Dilivery Agent : 主要 的 功能 就 是 将 MTA 所 收受 的 本 机 信件 ， 
放置 到 本 机 账户 下 的 邮件 档案 中 ( Mailbox )! 

0 POP3 与 SMTP 的 功能 为 何 ? 

0 SMTP 为 使 用 于 MUA 或 MIA 与 MTA 之 间 的 传输 协议 ， 通 党 使 用 
port 25 ， 只 要 主机 支持 SMTP ， 并 且 其 他 relay 的 条 件 能 配合 ， 就 可 
以 进行 邮件 传递 ! 

oPOP3 可 以 提供 使 用 者 经 由 MUA 到 MTA 下 载 邮 件 ， 同 时 并 可 将 邮件 
从 主机 上 面 删除 ! 

0 请 简单 的 说 明 DNS 里 面 MX 标志 与 Mail 的 关系 为 何 ? 

MX recode 可 以 可 以 让 mail server 经 由 MX 以 及 A (address ) 这 个 记 


孙 来 进行 mail gateway 与 mail route 的 功能 ! 能 够 达到 的 作用 相当 的 
多 ! 
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0 什么 是 mailling list ? 在 postfix 克 下 有 什么 方法 可 以 不 头 由 其 他 的 
软件 达到 mailling list 的 功能 ? 


Mailling list 就 是 将 使 用 着 寄 给 一 个 账号 邮件 时 ， 该 账号 会 主动 的 将 该 
邮 


件 传送 到 所 有 的 用 户 去 ! 有 点 类 似 目 前 的 电子 报 ! 在 sendmail 的 下 ， 
我 们 可 以 


透 过 aliases ( 需 配合 newaliases) 以 及 ~/.forward 来 达成 喔 ! 
0 如 何 察看 邮件 队列 的 内 容 ， 以 及 邮件 队列 内 容 放 置 在 何方 ? 
使 用 mailg 即 可 知道 目前 邮件 队列 的 内 容 ， 而 邮件 队列 虽然 可 以 透 过 


sendmail.cf 来 修改 ， 不 过 ， 预 设 情况 下 ， 都 是 以 /var/spool/mqueue 为 邮 
件 


队列 目录 。 
0 什么 是 Open Relay? 


所 请 的 Open Relay 束 是 ， 不 论 发 信 端 来 目 何 处 ， 您 鸭 Open Relay 的 主 
机 


均 可 以 玫 发 信 端 将 信件 发 送出 去 ， 这 个 称 为 Open Relay。 如 果 您 的 


mail server 


具有 open relay 的 情况 ， 那 么 很 容易 遭受 到 垃圾 邮件 的 填充 ， 不 但 造 
成 网 络 


市 宽 的 耗损 ， 也 容易 让 您 的 主机 被 列 入 黑 名 单 当 中 ! 
D 如 果 要 让 Postfix 可 以 收发 来 目 非 本 机 的 外 部 信件 ， 您 可 以 修改 


main.cf 

里 面 的 什么 参数 ? 

需要 在 main.cf 里 面 修改 的 变量 主要 有 : 

1. 当 Client 来 目 信任 的 网 域 ， 也 束 是 了 符合 $mynetworks 的 设 定 
值 时 ; 

2. 当 Client 来 日 信任 的 机 絮 ， 也 就 古 主 机 名 符合 $relay_domains 的 


设 定 项 目 时 ; 

3. 当 Client 来 自 不 信任 的 网 域 ， 但 是 去 的 目的 地 主机 端 符合 
$relay_domains 的 设 定时 。 

0 如 何 察看 您 目前 的 Postfix 服务 器 的 所 有 设 定 参数 ? (使 用 什么 指令 ? ) 
利用 postconf -n 可 以 察看 『 目 前 main.cf 里 面 设 定 的 参数 1 ， 而 如 果 要 
看 所 有 的 参数 ， 则 直接 使 用 postconf 即 可 ! 

D Mail Server 能 否 运 作 与 DNS (MX 与 A recode ) 的 相关 性 为 何 ? 
ee 合法 的 Mail server 通常 仅 会 针对 具有 MX 标志 的 邮件 


0 ”而 如 采 有 多 重 MX 时 ， 肯 先 会 选择 最 小 MX 主机 寄 
言 ， 依 序 


处 理 。 而 最 终 依据 MX 主机 的 A 标志 来 查 得 最 终 目 标 。 

0 什么 smtp, pop3 以 及 imap 协议 ， 他 们 的 用 途 分 别 是 什么 ? 

o smtp: 用 来 传 带 邮 件 的 协议 ， 通 第 我 们 称 为 MTA 即 是 此 一 协议 所 达 
成 
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0 pop3: 
让 client 端 向 主机 端 要 求 收 信 的 协议 ， 通 常 预 设 收 信 完 成 
主机 端的 mail box 会 被 删除 ; 


o imap: 与 pop3 类 似 ， 不 过 imap 允许 用 户 在 主机 的 家 目录 建立 邮件 


数据 匣 

22.8 参考 数据 与 延伸 阅读 

0 Sendmail 官方 网 站 : http:/www.sendmail.org 
DO Postfix 官方 网 站 : http://www.postfix.org 

0D Cyrus-SASL 官方 网 站 : 
http://asg.web.cmu.edWcyrus/download/sasl/doc/ 


0 Procmail 官方 网 站 : ”http:/www.procmail.org 


DO Open Relay Database: ”http:/www.ordb.org/ (很 可 惜 ， 


天 站 ) 
0 Study Area 之 邮件 架设 : 


http://www.study-area.org/linux/servers/linux_ mailhtm 


0D SMTP 认证 系统 的 建 置 : 


已 于 2006/12/18 


http://beta.wsl.sinica.edu.tw/~ylchang/Email/sendmail-auth/ 


0 台湾 学 术 网 络 黑 名 单 网 页 : http:/rs.edutw/tanet/spam.html 


中 龙 小 三 的 Procmailrc 范例 : 


0 林 克 敏 主任 文件 集 之 Procmail 范例 : 


http://freebsd.lab.mlc.edu.tw/procmail.htm 


Postgrey 官方 网 站 :_http://isg.ee.ethz.ch/tools/postgrey/ 


中 Postfix 针对 Postgrey 的 设 定 : 


http:/www.postfix.org/SMTPD POLICY README.html 


上 0 一些 postfix 的 relay 机 制 设 定 : 
http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt 
0 小 州 的 postfix 设 定 : 


http://phorum.study-area.org/viewtopic.php?t=30716 


DPOSTFIX 技术 手札 ，Ralf Hildebrandt/Patrick Koetter 合 着 ， 上 和 奇 出 
版 ， 


2005 年 。 
TWU2 兄 在 酷 学 园 所 发 表 的 目 制 邮件 过 滤 软 件 : 
http://phorum.study-area.org/viewtopic.php?t=38649 


0 Amavis-new 一 个 在 MTA 与 队列 间 的 服务 : 


http://www.ijs.si/software/amavisd/ 


0 广告 信件 分 析 软 件 :_http://spamassassin.apache.org/index.html 
DU Steven 的 垃圾 信 抵 挡 机 制 |: 
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2006/11/13: 准备 将 原本 的 sendmail 以 及 postfix 整合 成 为 一 篇 专门 介 
绍 Mail 


server 的 小 文章 喝 | 


2006/11/14: 原本 的 sendmail 请 参考 这 里 ， 原本 的 Postfix 则 请 参 
里 es 至 于 人 


数 统计 则 以 sendmail 原本 网 页 增加 。 


2006/11/30: 加 上 了 邮件 扫 瞄 与 广告 信 抵 挡 的 spamassassin 机 制 ， 呼 
因 汪 好 二 < 


2007/02/27 : 感谢 网 友 Cheng-Lin Yang 提供 的 意见 ， 在 黑 名 单 
数据 库 增 加 了 


http:/www.anti-spam.org.cn/, http:/www.spamhaus.org/ 


2007/04/05: 感谢 chunkit 兄 的 来 信 告知 ， 将 原本 的 mail localhost 25 改 
成 telnet 


localhost 25 | 

2010/07/20 : 感谢 Patrick 的 告知 ， 学 术 网 络 的 spam 网 址 应 为 
http://rs.edu.tw/tanet/spam.html 

2011/06/05: 将 旧 的 基于 CentOS4.x 的 版 本 移动 到 此 处 


2011/06/13: 不 愿意 再 讲 telnet 的 mail 功能 ， 加 入 的 是 mutt 这 个 可 以 联 
网 的 好 物 ! 


2011/07/07: 这 个 月 实在 很 已 入， 所 以 短 短 一 篇 mail server 改 了 一 整个 
二 


2011/08/10: 将 基于 CentOS 5.x 的 版 本 移动 到 此 处 
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